1. La idea principal
El AI Act, o Reglamento Europeo de Inteligencia Artificial, sí es obligatorio, pero no significa que todos los autónomos y pequeñas empresas tengan que hacer una implantación enorme, cara o complicada.
Para la mayoría de negocios pequeños, el cumplimiento será algo bastante razonable: saber qué herramientas de inteligencia artificial se usan, controlar qué datos se meten en ellas, formar mínimamente al personal, avisar al cliente cuando hable con un chatbot, revisar los resultados antes de usarlos y evitar usos peligrosos.
La Comisión Europea confirma que el AI Act se aplica por fases: desde el 2 de febrero de 2025 ya aplican las normas generales, la alfabetización en IA y las prácticas prohibidas; desde el 2 de agosto de 2026 empiezan a aplicarse la mayoría de reglas, incluidas las de transparencia del artículo 50 y las de sistemas de alto riesgo del Anexo III; y desde el 2 de agosto de 2027 aplican las reglas para sistemas de alto riesgo integrados en determinados productos regulados.
Si un autónomo usa ChatGPT para redactar emails o documentos, no tiene que montar una estructura enorme. Pero sí debería tener unas normas básicas de uso, controlar los datos personales, revisar lo que genera la IA y poder demostrar que usa la IA con cuidado.
2. Semáforo rápido: ¿dónde estoy?
Antes de leerlo todo, mira esta tabla. En 30 segundos sabes en qué nivel está tu uso de IA y a qué sección del artículo conviene saltar primero.
| Si usas IA para… | Nivel | Qué tienes que hacer |
|---|---|---|
| Redactar emails, textos, presupuestos o documentos revisados por una persona | Verde | Política de uso interna, formación básica del personal, no meter datos personales sin control. |
| Chatbot o asistente que habla con clientes | Amarillo | Avisar al cliente de que es IA, política de privacidad actualizada, ofrecer un canal humano alternativo. |
| Generar imágenes, voz o vídeo realista | Amarillo | Avisar si puede inducir a error, revisar derechos de imagen y voz, marcado de deepfakes cuando proceda. |
| Filtrar candidatos, valorar empleados, puntuar clientes, solvencia, crédito o seguros | Rojo | Análisis específico de alto riesgo (Anexo III) y, en su caso, evaluación de impacto en derechos fundamentales antes de usarlo. |
| Biometría, reconocimiento facial, emociones, vigilancia o clasificación de personas | Rojo intenso | No usar sin análisis jurídico-técnico serio. Algunos usos están directamente prohibidos por el artículo 5. |
3. IA por sectores: usos normales y riesgo principal
Cada sector tiene un patrón típico de uso de IA y un riesgo principal. No es una clasificación oficial; es una orientación práctica para que reconozcas dónde encaja tu actividad.
| Sector | Usos normales de IA | Riesgo principal |
|---|---|---|
| Asesoría / gestoría | Redactar emails, resumir documentos, preparar borradores | RGPD, confidencialidad, revisión humana |
| Comercio / e-commerce | Descripciones de productos, chatbot, recomendaciones | Transparencia, normativa de consumidores, datos de clientes |
| Clínica / estética / salud | Textos informativos, gestión de citas, atención inicial | Datos de salud, canal humano disponible, no diagnóstico automático |
| Inmobiliaria | Redacción de anuncios, respuestas, valoración inicial de inmuebles | No discriminar, cuidado con solvencia y perfilado |
| RR. HH. / selección | Filtrar CV, valorar candidatos | Alto riesgo posible |
| Formación / academias | Corrección, evaluación, itinerarios formativos | Alto riesgo posible si evalúa alumnos |
| Marketing / agencia | Imágenes, vídeos, voces, campañas | Deepfakes, derechos de imagen, transparencia |
| Despacho profesional | Borradores jurídicos, informes, respuestas | Secreto profesional, revisión humana, RGPD |
| Restauración / ocio | Posts en redes, reservas, chatbot, promociones | Transparencia chatbot, datos de clientes |
| Industria / instaladores | Manuales, soporte técnico, presupuestos | Seguridad, responsabilidad por instrucciones erróneas |
4. Qué significa “usar IA” en un negocio
Muchas empresas ya usan IA sin darse cuenta. No hace falta tener robots ni programar modelos propios.
| Herramienta o uso | Ejemplo sencillo |
|---|---|
| ChatGPT, Copilot, Gemini, Claude u otros asistentes | Redactar emails, contratos, presupuestos o publicaciones |
| Un chatbot en la web | Responder preguntas de clientes automáticamente |
| Un CRM con IA | Sugerir respuestas, clasificar clientes o priorizar oportunidades |
| Un software de facturación con funciones inteligentes | Leer tickets, clasificar gastos o preparar conceptos de factura |
| Un generador de imágenes o vídeos | Crear imágenes para redes sociales o anuncios |
| Una herramienta de recursos humanos con IA | Filtrar currículums o valorar candidatos |
| Cámaras con análisis inteligente | Detectar personas, caras, emociones o comportamientos |
El AI Act define un sistema de IA como un sistema basado en máquinas que, con cierto nivel de autonomía, genera resultados como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o digitales.
5. La primera pregunta: ¿la empresa usa IA o vende IA?
Esto es muy importante porque las obligaciones cambian mucho según el papel real de la empresa.
Caso A: la empresa solo usa IA
Es el caso más normal. Por ejemplo:
- un autónomo usa ChatGPT para redactar presupuestos;
- una gestoría usa IA para resumir documentos;
- una tienda online usa un chatbot;
- una asesoría usa IA para preparar respuestas;
- una empresa usa Copilot para mejorar textos o resumir emails.
En estos casos, normalmente la empresa es usuaria profesional de IA, lo que el AI Act llama deployer: quien usa un sistema de IA bajo su autoridad, salvo usos personales no profesionales.
Caso B: la empresa crea, vende o comercializa IA
Aquí la cosa cambia. Por ejemplo:
- una empresa desarrolla un chatbot y lo vende a clientes;
- una pyme crea una plataforma propia con IA y la ofrece a terceros;
- una empresa integra IA en un producto y lo vende bajo su marca;
- una empresa modifica una herramienta de IA y la convierte en un producto propio.
En ese caso podría ser proveedor de IA, y las obligaciones pueden ser mucho más importantes. El AI Act considera proveedor a quien desarrolla un sistema de IA o lo pone en el mercado bajo su propio nombre o marca, gratis o de pago.
6. Fechas importantes explicadas de forma sencilla
La fecha más importante para la mayoría de autónomos y pequeñas empresas es el 2 de agosto de 2026, porque es cuando empiezan las obligaciones generales más visibles.
En paralelo, dentro del debate europeo sobre simplificación normativa (el llamado paquete Digital Omnibus) hay propuestas que podrían condicionar parte de la aplicación de algunos sistemas de IA de alto riesgo a la disponibilidad de herramientas de apoyo y estándares armonizados. Es algo a vigilar, y el propio AI Act Service Desk lo señala como propuesta, pero no cambia por sí solo el texto vigente: a fecha de actualización de este artículo, la norma aprobada es el Reglamento (UE) 2024/1689, con las fechas indicadas más arriba. Hasta que cualquier modificación se publique en el Diario Oficial de la Unión Europea, no conviene basar el cumplimiento en esperar una posible prórroga. La recomendación prudente es preparar el cumplimiento con el calendario vigente y actualizar el análisis si la modificación se aprueba definitivamente.
7. Qué debe hacer una empresa pequeña si usa IA para documentos, facturas o atención al cliente
Una situación típica: una empresa pequeña usa IA para redactar emails, preparar contratos o presupuestos, hacer publicaciones en redes sociales, contestar consultas de clientes, resumir documentos, preparar facturas, organizar información, traducir textos o generar imágenes comerciales.
En principio, estos usos suelen ser de riesgo bajo o limitado, siempre que la IA no tome decisiones importantes por sí sola y siempre que una persona revise el resultado.
| Medida | Explicación sencilla |
|---|---|
| Inventario de IA | Saber qué herramientas se usan |
| Política de uso | Tener normas básicas: qué se puede hacer y qué no |
| Formación mínima | Que quien use IA sepa los riesgos básicos |
| Control de datos personales | No meter datos de clientes sin control |
| Revisión humana | No enviar documentos importantes sin leerlos |
| Transparencia | Avisar si un cliente habla con un chatbot |
| Seguridad | Usar cuentas protegidas, contraseñas fuertes y doble factor |
| Evidencias | Guardar documentos que demuestren que se ha hecho el análisis |
8. Obligación ya aplicable: alfabetización en IA
Esta es una de las obligaciones más importantes y menos entendidas.
Desde el 2 de febrero de 2025, quienes proporcionen o usen sistemas de IA deben tomar medidas para asegurar, en la medida de lo posible, un nivel suficiente de alfabetización en IA del personal y de otras personas que usen IA en su nombre. El AI Act dice que debe tenerse en cuenta la experiencia, formación, conocimientos técnicos, contexto de uso y personas afectadas.
Si tus trabajadores usan IA, no vale con decir “que cada uno use ChatGPT como quiera”. Hay que explicarles unas normas mínimas.
No hace falta una formación complicada. Para una pyme puede bastar una sesión breve y un documento interno.
Qué debería saber cualquier trabajador que use IA
| Tema | Explicación sencilla |
|---|---|
| La IA puede equivocarse | Puede inventar datos, leyes, precios, condiciones o respuestas |
| La IA no sustituye al responsable | La empresa sigue siendo responsable de lo que envía |
| No todo se puede copiar en una IA | Hay datos personales o confidenciales que no deben introducirse sin control |
| Hay que revisar antes de enviar | Especialmente contratos, facturas, presupuestos o respuestas a clientes |
| Hay que avisar en algunos casos | Por ejemplo, si el cliente habla con un chatbot |
| Hay usos prohibidos | Manipular, clasificar personas injustamente, usar biometría sensible, etc. |
Evidencia recomendada
- Documento de formación.Debe explicar las reglas básicas y riesgos concretos del negocio.
- Fecha de la formación.Sirve para demostrar cuándo se impartió.
- Personas que la han recibido.Conviene guardar asistencia o aceptación.
- Política interna de uso de IA.Define herramientas permitidas, datos, revisión y usos prohibidos.
- Aceptación o firma de los trabajadores.Ayuda a acreditar que conocen las normas.
- Revisión anual.La IA y sus usos cambian; la política no debería quedarse abandonada.
Para un autónomo sin empleados, bastaría con una autoevaluación documentada y una política propia de uso.
9. Protección de datos: el punto más delicado para negocios pequeños
En la práctica, para autónomos y pymes, el problema más frecuente no será el AI Act puro, sino el RGPD.
Cada vez que se mete en una herramienta de IA información de clientes, trabajadores o proveedores, puede haber tratamiento de datos personales.
Ejemplos de datos personales
- nombre y apellidos;
- teléfono;
- email;
- DNI/NIE;
- dirección;
- número de cuenta;
- facturas;
- conversaciones de WhatsApp;
- documentos de clientes;
- datos de salud;
- nóminas;
- imágenes;
- voz;
- matrículas;
- datos económicos.
La AEPD recuerda que el artículo 32 del RGPD obliga a responsables y encargados a aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. También indica que, para seleccionar medidas, pueden usarse estándares de seguridad existentes como la familia ISO 27000.
No metas en una IA información que no enviarías tranquilamente a un proveedor externo sin contrato, sin garantías y sin saber qué hará con esos datos.
Qué revisar antes de usar una IA con datos de clientes
| Pregunta | Qué significa |
|---|---|
| ¿Qué datos voy a meter? | No es lo mismo un texto anónimo que una factura con datos personales |
| ¿Es necesario meter esos datos? | Si puedes anonimizar, mejor |
| ¿La herramienta guarda los datos? | Hay que revisar condiciones |
| ¿La herramienta usa los datos para entrenar modelos? | Es un punto crítico |
| ¿Dónde se procesan los datos? | UE, EEUU u otros países |
| ¿Hay contrato de encargado del tratamiento? | Importante si el proveedor trata datos por cuenta de la empresa |
| ¿Puedo borrar los datos? | Hay que revisar conservación y supresión |
| ¿Quién tiene acceso? | Control de usuarios, permisos y contraseñas |
| ¿Debo informar al cliente? | Si cambia el tratamiento, puede ser necesario actualizar privacidad |
10. Uso de IA para generar documentos
Este es uno de los usos más habituales: redactar un contrato, preparar un presupuesto, contestar un email, hacer una propuesta comercial, resumir documentación, mejorar el estilo de un texto, traducir o crear informes.
Normalmente es un uso de bajo riesgo si se cumplen tres condiciones:
- La IA no decide por sí sola.
- Una persona revisa el resultado.
- No se introducen datos personales o confidenciales sin control.
Qué puede salir mal
| Problema | Ejemplo |
|---|---|
| La IA inventa información | Cita una ley que no existe o una condición contractual incorrecta |
| La IA se equivoca en precios | Propone un precio o descuento no autorizado |
| La IA revela datos | Se copian datos de clientes en una herramienta no validada |
| La IA redacta algo engañoso | Promete más de lo que la empresa puede cumplir |
| La IA genera contenido no revisado | Se envía una respuesta incorrecta a un cliente |
La IA puede ayudar a redactar documentos, pero ningún documento importante debe enviarse sin revisión humana.
11. Uso de IA para facturas
Una IA puede ayudar en tareas de facturación, pero hay que distinguir.
| Uso | Riesgo habitual |
|---|---|
| Redactar el concepto de una factura | Bajo |
| Clasificar gastos | Bajo |
| Leer tickets o facturas | Bajo/medio por datos personales |
| Preparar borradores de factura | Bajo si se revisa |
| Decidir si se concede crédito a una persona | Puede ser alto riesgo |
| Puntuar la solvencia de una persona física | Alto riesgo posible |
| Aplicar precios o condiciones automáticamente según perfil personal | Hay que analizarlo con cuidado |
El Anexo III del AI Act incluye como alto riesgo los sistemas destinados a evaluar la solvencia de personas físicas o establecer puntuaciones crediticias, salvo los usados para detectar fraude financiero. También incluye sistemas relacionados con seguros de vida y salud, servicios esenciales y otros ámbitos especialmente sensibles.
Usar IA para preparar una factura no suele ser grave. Usar IA para decidir si una persona merece crédito, financiación, seguro o acceso a un servicio importante ya puede ser mucho más delicado.
12. Uso de IA para atender clientes
Este es uno de los puntos más importantes para pequeñas empresas. Puede aparecer en un chatbot en la web, un bot de WhatsApp, un asistente virtual, respuestas automáticas en email, un sistema que guía al cliente para contratar o una IA que recomienda productos o servicios.
Obligación principal: avisar
Si una persona está interactuando con una IA, debe saberlo, salvo que sea evidente. El artículo 50 exige que los sistemas de IA destinados a interactuar directamente con personas informen de que se está interactuando con un sistema de IA, salvo que resulte obvio por el contexto. También exige que la información se facilite de forma clara y accesible, como tarde en la primera interacción o exposición.
Estás interactuando con un asistente virtual basado en inteligencia artificial. Sus respuestas pueden contener errores y no sustituyen la revisión de una persona del equipo. Para cuestiones importantes, puedes solicitar atención humana.
No introduzcas datos especialmente sensibles, como datos de salud, ideología, religión, orientación sexual, datos biométricos o información especialmente delicada. Si tu consulta requiere tratar este tipo de información, solicita atención humana o utiliza el canal específico habilitado para ello. Trataremos los datos que nos facilites para atender tu consulta conforme a nuestra política de privacidad.
Si el cliente puede pensar que está hablando con una persona, hay que avisarle claramente de que está hablando con una IA.
13. Uso de IA para marketing, imágenes, vídeos y redes sociales
Muchas empresas usan IA para crear imágenes, hacer anuncios, generar vídeos, crear locuciones, editar fotografías, preparar publicaciones en LinkedIn, Instagram o TikTok, y crear avatares o voces artificiales.
El AI Act exige transparencia en algunos contenidos generados o manipulados por IA, pero no obliga a etiquetar cualquier documento, email o texto interno hecho con ayuda de IA. Para los usuarios profesionales o deployers, la obligación principal aparece cuando se generan o manipulan imágenes, audio o vídeo que constituyen un deepfake, o cuando se publica texto generado o manipulado por IA con la finalidad de informar al público sobre asuntos de interés público. En este último caso, no será necesario revelar el uso de IA si el contenido ha pasado por revisión humana o control editorial y una persona física o jurídica asume la responsabilidad editorial de la publicación.
Casos prácticos
| Caso | Qué hacer |
|---|---|
| Imagen claramente publicitaria creada con IA | Recomendable indicar si puede inducir a error |
| Vídeo realista de una persona diciendo algo que no dijo | Avisar claramente de que es contenido generado/manipulado |
| Voz sintética que parece una persona real | Avisar y revisar derechos de imagen/voz |
| Imagen artística no realista | Menor riesgo, pero conviene no engañar |
| Post informativo generado por IA | Revisar antes de publicar y asumir responsabilidad editorial |
Contenido generado o editado con inteligencia artificial.
Este contenido ha sido generado o manipulado mediante inteligencia artificial y no representa una grabación real.
14. Usos prohibidos: lo que una pyme no debe hacer
El AI Act prohíbe ciertos usos de IA desde el 2 de febrero de 2025. Entre ellos están las técnicas manipuladoras o engañosas que distorsionen decisiones y puedan causar daño, la explotación de vulnerabilidades por edad, discapacidad o situación social/económica, el social scoring, la creación de bases de reconocimiento facial mediante scraping indiscriminado, la inferencia de emociones en trabajo o educación salvo excepciones, y la categorización biométrica para deducir atributos sensibles.
| Uso prohibido o muy peligroso | Ejemplo claro |
|---|---|
| Manipular al cliente de forma oculta | Un bot que presiona psicológicamente a personas vulnerables para comprar |
| Aprovechar vulnerabilidades | Dirigirse de forma abusiva a ancianos, menores o personas endeudadas |
| Hacer “puntuaciones sociales” | Clasificar personas como “buenas” o “malas” por comportamiento personal |
| Crear o ampliar bases de reconocimiento facial mediante scraping indiscriminado de internet o cámaras CCTV | Crear una base de reconocimiento facial con imágenes de clientes, transeúntes, redes sociales o cámaras sin una base jurídica clara y, especialmente, mediante captación masiva o indiscriminada. |
| Detectar emociones de trabajadores | Usar IA para decir si un empleado está triste, enfadado o desmotivado |
| Deducir datos sensibles por biometría | Inferir religión, orientación sexual, ideología o raza por rasgos físicos |
¿Estoy usando la IA para ayudar en mi trabajo o para manipular, vigilar, clasificar o decidir sobre personas?
Si la respuesta se acerca a manipular, vigilar, clasificar o decidir sobre personas, hay que parar y analizarlo bien.
15. Cuándo una pequeña empresa puede entrar en “alto riesgo”
La mayoría de usos normales no serán de alto riesgo. Pero hay algunos ámbitos donde hay que tener mucho cuidado.
El Anexo III del AI Act incluye sistemas de alto riesgo en áreas como biometría, infraestructuras críticas, educación, empleo, acceso a servicios esenciales, crédito, seguros de vida y salud, fuerzas de seguridad, migración, justicia y procesos democráticos.
Tabla sencilla de alerta
| Uso de IA | ¿Puede ser alto riesgo? |
|---|---|
| Redactar emails | Normalmente no |
| Preparar presupuestos | Normalmente no |
| Crear publicaciones para redes | Normalmente no |
| Chatbot de atención básica | Normalmente transparencia, no alto riesgo |
| Filtrar currículums | Sí, puede ser alto riesgo |
| Valorar candidatos | Sí, puede ser alto riesgo |
| Evaluar rendimiento de empleados | Sí, puede ser alto riesgo |
| Asignar tareas según comportamiento o rasgos personales | Sí, puede ser alto riesgo |
| Decidir crédito o financiación | Sí, puede ser alto riesgo |
| Puntuar solvencia de personas físicas | Sí, puede ser alto riesgo |
| Calcular riesgo o precio en seguros de vida o salud | Sí, puede ser alto riesgo |
| Reconocimiento facial o biometría | Puede ser alto riesgo o incluso prohibido según uso |
| IA en educación o evaluación de alumnos | Puede ser alto riesgo |
| IA usada por autoridades judiciales, o en mediación/arbitraje con efectos jurídicos, para asistir en la interpretación de hechos y derecho | Puede ser alto riesgo |
Ejemplos prácticos
| Caso | Nivel aproximado |
|---|---|
| Peluquería usa ChatGPT para redactar posts de Instagram | Bajo |
| Autónomo usa IA para contestar emails, revisando antes | Bajo |
| Gestoría usa IA para resumir documentos de clientes | Bajo/medio por RGPD |
| Tienda online usa chatbot y avisa al cliente | Transparencia |
| Empresa usa IA para descartar CV automáticamente | Alto riesgo posible |
| Inmobiliaria usa IA para decidir a quién alquila | Riesgo alto RGPD/discriminación |
| Financiera usa IA para scoring de crédito | Alto riesgo |
| Empresa usa reconocimiento facial para identificar clientes | Muy delicado |
| Empresa usa IA para medir emociones de trabajadores | Prohibido salvo excepciones concretas |
16. Qué pasa si la IA sí es de alto riesgo
Si una pyme usa una IA de alto riesgo, las obligaciones son mucho mayores.
El artículo 26 obliga a los deployers de sistemas de IA de alto riesgo a usar el sistema según las instrucciones, asignar supervisión humana competente, controlar que los datos de entrada sean adecuados cuando estén bajo su control, monitorizar el funcionamiento, informar de riesgos o incidentes graves, conservar logs cuando estén bajo su control durante un periodo adecuado de al menos seis meses e informar a trabajadores y representantes antes de usar sistemas de alto riesgo en el lugar de trabajo.
| Obligación | Qué significa realmente |
|---|---|
| Usar la herramienta como dice el proveedor | No usarla para fines distintos |
| Supervisión humana | Una persona formada debe controlar el uso |
| Datos adecuados | No meter datos incompletos, sesgados o incorrectos |
| Vigilar funcionamiento | Comprobar que no falla o discrimina |
| Avisar de incidentes | Si causa un problema serio, hay que comunicarlo |
| Guardar registros | Mantener logs si están bajo control de la empresa |
| Informar a trabajadores | Si se usa en el trabajo, los empleados deben saberlo |
| Informar a personas afectadas | Si el sistema toma o ayuda a tomar decisiones sobre personas físicas (Anexo III), esas personas deben ser informadas de que están sujetas al uso del sistema de IA (artículo 26.11). |
Evaluación de impacto en derechos fundamentales
En algunos sistemas de IA de alto riesgo no basta con supervisión humana, logs y uso conforme a instrucciones: puede ser necesaria una evaluación de impacto en derechos fundamentales (artículo 27 del AI Act) antes de poner el sistema en marcha. Esto es especialmente relevante para:
- Organismos públicos.
- Entidades privadas que presten servicios públicos.
- Sistemas de alto riesgo usados para evaluar la solvencia de personas físicas o calcular riesgo o precio en seguros de vida o salud.
En estos casos no basta con una política básica de uso de IA: debe hacerse un análisis específico documentado antes del despliegue.
Si la IA se usa para contratar, despedir, evaluar trabajadores, valorar solvencia, conceder crédito, analizar biometría, evaluar alumnos, seguros, salud o decisiones importantes sobre personas, no debe implantarse sin análisis específico.
17. Sanciones por incumplimiento
El AI Act sí prevé multas, y son altas. El régimen sancionador está en los artículos 99 a 101 del Reglamento (UE) 2024/1689. Lo más importante para autónomos y pequeñas empresas no es memorizar las cifras máximas, sino entender la regla de proporcionalidad que el propio Reglamento incluye para las pymes.
Tres tramos de multa
En pymes y start-ups se aplica la regla inversa (artículo 99.6): se toma como referencia el importe que resulte menor entre la cifra fija y el porcentaje de volumen de negocio. La tabla muestra la regla general para empresas no pyme.
| Tipo de incumplimiento | Regla general: tope de multa para empresas no pyme |
|---|---|
| Usar IA en alguna de las prácticas prohibidas del artículo 5 (manipulación, social scoring, categorización biométrica sensible, etc.) | 35.000.000 € o el 7 % del volumen de negocio mundial total del año anterior |
| Incumplir el resto de obligaciones del Reglamento (alto riesgo, transparencia del artículo 50, deberes de proveedores y deployers, etc.) | 15.000.000 € o el 3 % del volumen de negocio mundial |
| Suministrar a las autoridades información incorrecta, incompleta o engañosa | 7.500.000 € o el 1 % del volumen de negocio mundial |
Para los proveedores de modelos de IA de propósito general (GPAI), el artículo 101 establece un régimen propio con tope de hasta 15.000.000 € o el 3 % del volumen de negocio mundial.
La regla de proporcionalidad para autónomos y pymes
Esta es la parte más relevante para un negocio pequeño. El artículo 99.6 del AI Act dice expresamente que, cuando la sanción se imponga a una pyme (incluida una start-up), se aplicará el importe que sea menor de los dos posibles, no el mayor. Es decir, exactamente al revés que con grandes empresas.
Para una pyme, el tope práctico de la multa es la cifra fija o el porcentaje de su facturación, siempre la menor de las dos. Una multa diseñada como “7 % del volumen mundial” pierde sentido para un autónomo cuya facturación es modesta: el tope efectivo sería el porcentaje sobre su facturación real, no los 35 millones.
Eso no significa que el riesgo desaparezca. Significa que la sanción debe ser proporcional al tamaño y la facturación del negocio. Una autoridad sigue pudiendo imponer multas relevantes en relación con los ingresos de la empresa.
Desde cuándo son exigibles
El régimen sancionador del Capítulo XII aplica desde el 2 de agosto de 2025. Eso no significa que todas las obligaciones puedan sancionarse desde esa fecha: cada incumplimiento debe analizarse según la fecha en que la obligación concreta sea aplicable (artículo 113 del Reglamento).
- 2 de febrero de 2025.Ya son exigibles las prácticas prohibidas del artículo 5 y la obligación de alfabetización en IA.
- 2 de agosto de 2025.Aplica el régimen sancionador (Capítulo XII) y las obligaciones para modelos de IA de propósito general.
- 2 de agosto de 2026.Aplican, con carácter general, las obligaciones de transparencia del artículo 50 y las de sistemas de alto riesgo del Anexo III, así como los deberes de deployers y proveedores.
- 2 de agosto de 2027.Aplican las obligaciones para sistemas de alto riesgo integrados en determinados productos regulados.
Quién impone las multas en España
Cada Estado miembro debe designar autoridades nacionales que apliquen el régimen sancionador. En España, el Real Decreto 729/2023 aprobó el Estatuto de la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, como agencia estatal especializada en supervisión de IA y coordinada con el marco europeo. En la práctica habrá que atender a las autoridades nacionales designadas y a sus competencias concretas; cuando además haya tratamiento de datos personales, la AEPD mantiene su competencia propia en materia de protección de datos.
El mayor riesgo práctico para un autónomo o pyme no suele ser una multa millonaria, sino una concurrencia de sanciones: incumplimiento del AI Act + brecha de RGPD + reclamación de un cliente + pérdida reputacional. Por eso conviene ordenar el uso de IA antes de que llegue el problema, no después.
18. ISO 27001 e ISO 27002: qué pintan aquí
Esto es importante porque muchas empresas mezclan conceptos.
ISO 27001
ISO/IEC 27001 es una norma de sistemas de gestión de seguridad de la información. ISO explica que proporciona a empresas de cualquier tamaño y sector una guía para establecer, implantar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información.
ISO 27002
ISO 27002 es una guía de controles de seguridad. Ayuda a elegir medidas concretas, pero normalmente no se “certifica” ISO 27002 como tal de la misma forma que ISO 27001.
¿Es obligatorio certificarse?
En general, no. ISO e IEC describen sus estándares como estándares voluntarios; una norma se vuelve obligatoria cuando una legislación la usa como base o la exige en una jurisdicción concreta.
| Pregunta | Respuesta clara |
|---|---|
| ¿El AI Act obliga a certificarse en ISO 27001? | No, de forma general no |
| ¿El RGPD obliga a tener ISO 27001? | No directamente |
| ¿Puede ayudar ISO 27001? | Sí, mucho |
| ¿Puede un cliente exigirla por contrato? | Sí |
| ¿Puede ser recomendable para empresas con más riesgo? | Sí |
| ¿Es necesaria para un autónomo que usa ChatGPT para textos? | Normalmente no |
ISO 27001 no es obligatoria para todos, pero es una buena referencia para ordenar la seguridad de la información. Para autónomos y pequeñas empresas, se puede aplicar una versión proporcional, sin necesidad de certificarse, salvo que un cliente, licitación o contrato lo exija.
Para pymes y autónomos, lo razonable no suele ser empezar por una certificación ISO/IEC 27001 completa, sino aplicar una versión proporcional de sus principios: inventario, análisis de riesgos, controles, responsabilidades, evidencias y revisión periódica.
19. Qué debe tener una pyme para estar razonablemente cubierta
Para un autónomo o pequeña empresa que usa IA de forma normal, el paquete mínimo recomendable sería este.
1. Inventario de herramientas de IA
| Herramienta | Para qué se usa | Quién la usa | Qué datos se introducen | Riesgo |
|---|---|---|---|---|
| ChatGPT | Redactar emails y documentos | Administración | A veces datos de clientes | Bajo/RGPD |
| Chatbot web | Atender consultas | Clientes web | Nombre, email, consulta | Transparencia/RGPD |
| Software facturación | Leer tickets y facturas | Contabilidad | Facturas y proveedores | RGPD/seguridad |
| Generador de imágenes | Marketing | Marketing | Sin datos personales | Bajo |
2. Clasificación del riesgo
| Pregunta | Si la respuesta es sí |
|---|---|
| ¿Habla directamente con clientes? | Hay que avisar de que es IA |
| ¿Trata datos personales? | Revisar RGPD |
| ¿Usa datos sensibles? | Análisis reforzado |
| ¿Toma decisiones sobre personas? | Mucho cuidado |
| ¿Filtra candidatos o trabajadores? | Alto riesgo posible |
| ¿Evalúa crédito, solvencia o seguros? | Alto riesgo posible |
| ¿Usa biometría, caras, emociones o voz? | Muy delicado |
| ¿Genera vídeos o voces realistas? | Transparencia/deepfake |
3. Política interna de uso de IA
Debe explicar qué herramientas se pueden usar, para qué se pueden usar, qué datos no se pueden introducir, quién puede usarlas, cuándo hay que revisar, cuándo hay que avisar al cliente, qué usos están prohibidos y qué hacer si hay un error o incidente.
4. Formación básica
Debe cubrir qué es la IA, errores y alucinaciones, protección de datos, confidencialidad, revisión humana, transparencia, usos prohibidos y ejemplos reales del negocio.
5. Control de proveedores
Hay que revisar condiciones del proveedor, si usa los datos para entrenar, dónde procesa los datos, medidas de seguridad, contrato de encargado si procede, subencargados, opciones de borrado y configuración de privacidad.
6. Textos de transparencia
Estás interactuando con un asistente virtual basado en inteligencia artificial. Puede cometer errores. Para cuestiones importantes, puedes solicitar atención humana.
Contenido generado o editado con inteligencia artificial.
Este contenido ha sido generado o manipulado mediante inteligencia artificial y no representa una grabación real.
7. Seguridad mínima
- cuentas individuales;
- doble factor de autenticación;
- contraseñas fuertes;
- no compartir usuarios;
- limitar permisos;
- borrar conversaciones innecesarias;
- no subir bases de datos completas;
- anonimizar cuando se pueda;
- revisar accesos periódicamente;
- tener registro de incidentes.
8. Carpeta de evidencias
Crear una carpeta llamada Cumplimiento IA / AI Act / 2026.
| Documento | Para qué sirve |
|---|---|
| Inventario de IA | Demuestra que se sabe qué herramientas se usan |
| Evaluación de riesgo | Demuestra que se ha analizado el impacto |
| Política de uso de IA | Da normas internas |
| Registro de formación | Prueba la alfabetización en IA |
| Textos de transparencia | Prueba que se informa al cliente |
| Revisión RGPD | Prueba control sobre datos personales |
| Revisión de proveedores | Prueba diligencia |
| Configuración de seguridad | Prueba medidas técnicas |
| Registro de incidencias | Prueba control ante problemas |
| Revisión anual | Prueba mantenimiento |
20. Qué hago mañana por la mañana
Si has llegado hasta aquí y quieres empezar a ordenar el cumplimiento en cuestión de horas, no semanas, este es el plan mínimo. Muchos pasos pueden empezarse en cuestión de minutos con una hoja de cálculo y un documento de texto. El tiempo total dependerá del número de herramientas, empleados y datos sensibles que tenga tu negocio.
- Haz una lista de todas las herramientas de IA que usas. ChatGPT, Copilot, Gemini, Claude, asistentes integrados en tu CRM, software de facturación, generadores de imagen, traductores, chatbot web. Si dudas si una herramienta tiene IA, inclúyela.
- Marca cuáles usan datos personales. Si introduces nombres, emails, teléfonos, datos de clientes, facturas, currículums o cualquier información identificable, márcalas.
- Revisa si alguna habla directamente con clientes. Chatbot web, asistente en WhatsApp, respuestas automáticas, contestador con IA. Esas tienen obligaciones de transparencia (artículo 50).
- Revisa si alguna decide o ayuda a decidir sobre personas. Filtra CV, valora candidatos, puntúa solvencia, recomienda precios según perfil, evalúa empleados. Si la respuesta es sí, párate aquí: puede ser alto riesgo.
- Prohíbe introducir datos sensibles en herramientas no validadas. Salud, ideología, religión, orientación sexual, biometría. Comunícalo por escrito al equipo.
- Redacta una política interna sencilla. Una página basta: qué herramientas se pueden usar, para qué, qué datos no, quién revisa, cuándo avisar al cliente.
- Da una formación básica al equipo. Una sesión breve sobre los riesgos, la política y los usos prohibidos. La alfabetización en IA es obligación desde el 2 de febrero de 2025 (artículo 4 del AI Act).
- Guarda evidencias. Una carpeta llamada «Cumplimiento IA» con: el inventario, la política, el registro de la formación, los textos de transparencia que uses y la fecha de revisión.
Hecho esto, ya estás en mejor posición que la inmensa mayoría de pymes. El siguiente paso es la revisión periódica: actualizar la lista cada vez que el equipo añada una herramienta nueva.
21. Checklist final para autónomos y pequeñas empresas
| Pregunta | Sí/No |
|---|---|
| ¿Sé qué herramientas de IA uso en mi negocio? | |
| ¿Sé para qué se usa cada una? | |
| ¿Sé si introduzco datos personales? | |
| ¿He prohibido meter datos sensibles sin control? | |
| ¿Tengo una política interna de uso de IA? | |
| ¿He formado mínimamente al personal? | |
| ¿Reviso los documentos antes de enviarlos? | |
| ¿Aviso al cliente si habla con un chatbot? | |
| ¿Identifico contenido sintético cuando puede inducir a error? | |
| ¿He revisado si algún uso puede ser de alto riesgo? | |
| ¿He descartado usos prohibidos? | |
| ¿He revisado proveedores y privacidad? | |
| ¿Uso doble factor de autenticación? | |
| ¿Guardo evidencias del cumplimiento? | |
| ¿Reviso esto al menos una vez al año? |
22. Resumen para explicar a un cliente no técnico
El AI Act no obliga a todos los autónomos y pequeñas empresas a hacer una implantación compleja ni a certificarse en ISO 27001. Pero si usan inteligencia artificial en su actividad profesional, sí deben hacerlo con control.
Lo mínimo recomendable es saber qué IA usan, para qué la usan y qué datos introducen, formar mínimamente al personal, revisar los resultados antes de usarlos, informar al cliente cuando interactúe con un chatbot y etiquetar contenido generado o manipulado por IA cuando legalmente proceda — especialmente deepfakes, voz o vídeo realista, o textos informativos de interés público sin control editorial humano. Y evitar usos prohibidos o de alto riesgo.
Si la IA solo ayuda a redactar emails, presupuestos o documentos, normalmente el riesgo es bajo. Si la IA decide sobre personas, filtra candidatos, puntúa solvencia, usa biometría, evalúa trabajadores o afecta a derechos importantes, entonces el análisis debe ser mucho más serio.
23. Conclusión final
Para un autónomo o pequeña empresa, cumplir con el AI Act no debe plantearse como "hacer una ISO" ni como comprar una herramienta cara. Debe plantearse como un sistema sencillo, proporcionado y documentado.
La empresa debería poder demostrar:
- Qué IA usa.
- Para qué la usa.
- Qué datos introduce.
- Qué riesgos ha revisado.
- Qué usos están prohibidos.
- Qué personas han recibido formación.
- Qué resultados se revisan manualmente.
- Cómo se informa al cliente cuando toca.
- Qué medidas de seguridad se aplican.
- Qué evidencias conserva.
No se trata de prohibir la IA. Se trata de usarla con cabeza, con transparencia, protegiendo los datos personales y evitando que una máquina tome decisiones importantes sobre personas sin control humano.
Quick glossary
Terms from the European AI Regulation used in this article, explained in one line.
- AI Act
- Regulation (EU) 2024/1689 of the European Parliament and of the Council, known as the European Artificial Intelligence Regulation.
- Deployer
- Anyone using an AI system in their professional activity under their authority. This is the most common role for freelancers and SMEs (Article 3 of the AI Act).
- AI provider
- Anyone developing an AI system or placing it on the market under their own name or brand, free of charge or for payment. It has many more obligations than a deployer.
- Annex III
- Official AI Act list of areas where AI is considered high risk (employment, credit, biometrics, education, life and health insurance, etc.).
- Article 50
- AI Act article regulating transparency obligations: informing users when they are interacting with AI and marking AI-generated content where appropriate.
- Article 26
- AI Act article regulating the obligations of deployers of high-risk AI systems: human oversight, input-data control, logs, information to workers, etc.
- Article 5
- AI Act article listing prohibited AI practices: manipulation, exploitation of vulnerabilities, social scoring, indiscriminate facial scraping, etc.
- AI literacy
- Minimum knowledge of how AI works, its limits and risks, required by the AI Act for staff using AI at work (Article 4).
- GPAI
- General-purpose AI models, such as the large models behind ChatGPT, Claude or Gemini. They have their own rules within the AI Act.
- Deepfake
- AI-generated or manipulated image, video or audio that appears real. The AI Act requires disclosure that it is synthetic content when it may mislead.
- GDPR
- General Data Protection Regulation. EU law regulating how personal data is processed, applying alongside the AI Act when AI uses people’s data.
Frequently asked questions
¿El AI Act obliga a todos los autónomos a hacer una implantación compleja?
No. Para usos normales de IA, como redactar emails, documentos, presupuestos o publicaciones, lo razonable suele ser inventariar herramientas, tener normas básicas, controlar datos personales, formar mínimamente, revisar los resultados y avisar cuando una persona interactúa con un chatbot o contenido generado por IA.
¿Qué fechas debe tener claras una pyme?
El AI Act entró en vigor el 1 de agosto de 2024. Desde el 2 de febrero de 2025 aplican definiciones, alfabetización en IA y prácticas prohibidas. El 2 de agosto de 2026 es la fecha clave para la mayoría de reglas, incluidas transparencia y sistemas de alto riesgo del Anexo III. El 2 de agosto de 2027 aplican reglas de alto riesgo integradas en determinados productos regulados.
¿Usar ChatGPT para textos suele ser alto riesgo?
Normalmente no, si la IA no decide por sí sola, una persona revisa el resultado y no se introducen datos personales o confidenciales sin control. El problema práctico suele estar más en RGPD, confidencialidad, revisión humana y seguridad que en una implantación compleja del AI Act.
¿Cuándo puede una pequeña empresa entrar en alto riesgo?
Cuando la IA participa en ámbitos sensibles como selección de personal, evaluación de trabajadores, solvencia o crédito, seguros de vida o salud, biometría, educación, servicios esenciales, justicia o decisiones importantes sobre personas. En esos casos no conviene implantar sin análisis específico.
¿ISO 27001 es obligatoria por usar IA?
No de forma general. ISO 27001 es una referencia muy útil para ordenar la seguridad de la información, pero no es una certificación obligatoria para todos por el hecho de usar IA. Puede ser recomendable o exigible si lo pide un cliente, contrato, licitación o una norma aplicable al caso concreto.
Official sources reviewed
- AI Act Service Desk: Timeline for the Implementation of the EU AI Act
- AI Act Service Desk: Article 3, Definitions
- AI Act Service Desk: Article 4, AI literacy
- AEPD: Seguridad de los tratamientos
- AI Act Service Desk: Annex III, High-risk AI systems
- AI Act Service Desk: Article 50, Transparency obligations
- AI Act Service Desk: Article 5, Prohibited AI practices
- AI Act Service Desk: Article 26, Obligations of deployers of high-risk AI systems
- AI Act Service Desk: Article 27, Fundamental rights impact assessment for high-risk AI systems
- AI Act Service Desk: Article 113, Entry into force and application
- DOUE: Reglamento (UE) 2024/1689 — texto íntegro
- AI Act Service Desk: Article 99, Penalties
- AI Act Service Desk: Article 101, Fines for providers of general-purpose AI models
- BOE: Real Decreto 729/2023, Estatuto de la AESIA
- ISO: ISO/IEC 27001:2022 Information security management systems
- ISO: Standards and their relationship with regulation
Using AI sensibly can become a simple, documented system.
If your business already uses AI and you want to know what to organise first, I can help you review tools, data, risks, providers and evidence without oversizing the project.
