REGLAMENTO EUROPEO DE IA (AI ACT): OBLIGACIONES PRÁCTICAS PARA PYMES QUE USAN IA

¿Conoces el Reglamento Europeo de IA? El Reglamento Europeo de Inteligencia Artificial (AI Act) ya es una realidad. La norma (Reglamento (UE) 2024/1689) entró en vigor el 1 de agosto de 2024 y despliega sus obligaciones de forma progresiva entre 2025 y 2027, con especial atención a las pequeñas y medianas empresas que desarrollan o usan sistemas de IA.

Desde COEM Abogados queremos explicar, con un enfoque muy práctico, qué significa esto para una PYME que ya utiliza IA en su día a día (chatbots, scoring de clientes, automatización de procesos, análisis de datos, herramientas de RRHH, etc.) y qué pasos conviene empezar a dar para llegar a tiempo.

¿A quién se aplica realmente el AI Act? Proveedores, usuarios y PYMES “de a pie”

El AI Act no está pensado solo para grandes tecnológicas: se aplica a cualquier empresa que desarrolle, comercialice o utilice sistemas de IA en la UE, incluidas las PYMES y microempresas.

La norma distingue principalmente dos figuras clave:

• Proveedor: quien desarrolla un sistema de IA o lo comercializa bajo su nombre o marca.
• Usuario (deployer): la empresa que utiliza un sistema de IA en su propia actividad profesional (por ejemplo, una PYME que usa un software de IA para seleccionar CV, clasificar reclamaciones o segmentar clientes).

En la práctica, muchas PYMES serán usuarias de IA desarrollada por terceros (ERP con módulos de IA, CRM con scoring automático, herramientas de marketing o chatbots, etc.), pero algunas también pueden convertirse en proveedoras si incorporan IA a sus propios productos o servicios y los ofrecen a terceros.

La clave es entender que las obligaciones no recaen solo en quien programa el algoritmo, sino también en quien lo integra, lo configura y lo usa en la toma de decisiones sobre personas.

Calendario y enfoque de riesgo: qué debe preocuparle a una PYME

El AI Act adopta un enfoque basado en el riesgo: cuanto mayor sea el impacto potencial sobre derechos fundamentales, salud o seguridad, más obligaciones se activan.

De forma simplificada, los sistemas se agrupan en:

1. Riesgo inaceptable (prohibidos)
   Son prácticas directamente vetadas en la UE (por ejemplo, ciertos sistemas de “social scoring” o manipulación subliminal que cause perjuicios significativos).
   Para una PYME típica, lo importante es no contratar ni desarrollar soluciones que caigan en estas categorías.
2. IA de alto riesgo
   Incluye, entre otros, sistemas utilizados en ámbitos como empleo y selección de personal, educación, acceso a servicios esenciales, evaluación crediticia, seguridad, determinados usos en sanidad, etc.
   Si tu empresa usa IA para evaluar candidatos, puntuar la solvencia de clientes o decidir acceso a determinados servicios, es muy probable que entres en esta categoría.
3. Riesgo limitado
   Sistemas que requieren sobre todo obligaciones de transparencia (por ejemplo, chatbots que deben informar de que son IA o sistemas que generan contenido sintético/deepfakes que tienen que etiquetarse como tal).
4. Riesgo mínimo
   Herramientas de productividad, asistentes internos y otros usos donde el impacto sobre derechos fundamentales es bajo. No tienen obligaciones específicas, pero sí se recomienda implantar buenas prácticas.

Además, la aplicación del AI Act es gradual:

• Determinadas prohibiciones y disposiciones generales empiezan a aplicarse en 2025.
• Reglas específicas para modelos de IA de propósito general y régimen sancionador se refuerzan en 2025.
• Las obligaciones más exigentes para sistemas de alto riesgo se consolidan de aquí a 2027.

Para una PYME, esto se traduce en algo muy sencillo: no hay tiempo que perder. Aunque todavía falten meses o años para la plena aplicación, las decisiones de compra y diseño que se toman hoy condicionan el cumplimiento futuro.

Obligaciones clave para PYMES que DESARROLLAN IA (proveedoras)

Si tu empresa desarrolla soluciones de IA para venderlas o integrarlas en productos propios, el AI Act te tratará como proveedor, con un nivel de exigencia mayor, especialmente si tu sistema se considera de alto riesgo.

Entre las obligaciones prácticas más relevantes están:

• Sistema de gestión de riesgos de IA
  Identificar, analizar y mitigar los riesgos del sistema a lo largo de todo su ciclo de vida: diseño, pruebas, despliegue, mantenimiento y retirada.

• Gobernanza y calidad de los datos
  Definir criterios de calidad de datos de entrenamiento y prueba, evitar sesgos discriminatorios, documentar el origen de los datos y sus límites.
• Documentación técnica y expediente de IA
  Elaborar una documentación que permita a autoridades y clientes comprender cómo funciona el sistema, sus límites y los controles de seguridad implementados.
• Registro y trazabilidad (logs)
  Configurar el sistema para que genere registros de actividad suficientes para reconstruir decisiones, investigar incidentes y responder a reclamaciones.
• Supervisión humana
  Garantizar que exista intervención humana significativa en la toma de decisiones relevantes, definiendo claramente cuándo y cómo puede intervenir la persona responsable.
• Robustez, precisión y ciberseguridad
  Implementar controles técnicos que reduzcan errores, vulnerabilidades y ataques (adversarial attacks, manipulación de datos, etc.).

El AI Act prevé apoyos y simplificaciones específicas para PYMES y start-ups, pero no elimina las obligaciones de fondo. Simplemente, facilita su cumplimiento (por ejemplo, mediante entornos de pruebas regulados “sandboxes” y guías específicas).

Obligaciones clave para PYMES que USAN IA (usuarias o “deployers”)

La mayoría de PYMES no programan algoritmos desde cero, pero sí usan herramientas de IA de terceros. Aquí las obligaciones son distintas, pero muy reales:

• Clasificar los usos de IA dentro de la empresa
  Identificar en qué procesos se usa IA (RRHH, marketing, atención al cliente, ventas, logística…) y determinar si alguno puede considerarse de alto riesgo (por ejemplo, selección de personal o scoring de clientes).
• Evaluar a los proveedores de IA
  Antes de contratar un software, revisar si el proveedor declara su cumplimiento con el AI Act, qué documentación facilita, qué garantías ofrece y cómo asume responsabilidades contractuales.
• Diseñar políticas internas de uso de IA
  Establecer por escrito qué se puede hacer y qué no con estas herramientas, quién puede usarlas, cómo se supervisan las decisiones y cómo se actúa si se detecta un error o un sesgo.
• Informar a clientes y empleados cuando proceda
  En usos de riesgo limitado, la empresa debe garantizar que los usuarios sepan que están interactuando con un sistema de IA y tengan la posibilidad de contactar con una persona si lo necesitan.
• Coordinar AI Act, RGPD y demás normativa
  Muchas aplicaciones de IA implican tratamiento de datos personales. El AI Act no sustituye al RGPD, sino que se suma a él. Habrá casos en los que sea necesario realizar una evaluación de impacto en protección de datos (EIPD), revisar cláusulas de encargo de tratamiento y reforzar medidas de seguridad.

En resumen, aunque seas “solo usuario”, el mensaje es claro: no basta con confiar en que el proveedor cumple, es necesario demostrar que la empresa ha hecho sus deberes de diligencia y supervisión.

Sanciones y riesgos legales: por qué conviene adelantarse

Las sanciones por incumplimiento del AI Act pueden llegar hasta 35 millones de euros o el 7 % del volumen de negocio mundial, con límites más bajos para PYMES y start-ups (se aplica el importe menor entre el porcentaje y la cifra fija).

Además de las multas, la empresa se expone a:

• Prohibición de comercializar o usar determinados sistemas de IA.
• Reclamaciones de clientes, trabajadores o consumidores por daños.
• Daño reputacional si se asocia la marca a decisiones automatizadas injustas o discriminatorias.

La buena noticia es que hay margen para prepararse, y hacerlo a tiempo suele ser mucho más barato que reaccionar a un procedimiento sancionador.

Checklist práctico para PYMES que usan IA

Para aterrizarlo, proponemos una lista básica de tareas que recomendamos iniciar cuanto antes:

1. Inventario de sistemas de IA
   Localizar todas las herramientas de IA en uso (externas e internas), documentar para qué se usan y qué datos manejan.
2. Clasificación por nivel de riesgo
   Determinar si alguno de los usos puede entrar en categorías de riesgo alto o limitado y priorizar esos casos.
3. Revisión de contratos con proveedores
   Solicitar información sobre cumplimiento del AI Act, garantías y soporte documental. Actualizar cláusulas de responsabilidad, auditoría y notificación de incidentes.
4. Política interna de IA y formación básica
   Aprobar una política de uso responsable de IA y formar a los equipos clave (dirección, RRHH, marketing, sistemas, legal).
5. Integración con cumplimiento normativo existente
   Coordinar AI Act con RGPD, ciberseguridad, compliance penal y políticas de derechos de consumidores.
6. Plan de mejora continua
   Establecer revisiones periódicas de los sistemas de IA, recogida de incidencias y actualización de medidas técnicas y organizativas.

Cómo podemos ayudar desde COEM Abogados

En COEM Abogados acompañamos a PYMES que ya usan IA o están empezando a integrarla en sus procesos. Nuestro trabajo se centra en:

• Diagnóstico legal de usos de IA en la empresa y clasificación de riesgos.
• Revisión y negociación de contratos con proveedores tecnológicos, alineando responsabilidades con el AI Act.
• Diseño de políticas internas de uso de IA, coordinadas con protección de datos y compliance.
• Asesoramiento en investigación y gestión de incidentes vinculados a decisiones automatizadas.
• Formación práctica a equipos directivos y técnicos para que la empresa pueda usar IA con seguridad jurídica y sin frenar la innovación.

El AI Act no pretende que las PYMES dejen de innovar, sino que lo hagan de forma responsable. Nuestro objetivo es precisamente ese: ayudar a que tu empresa aproveche el potencial de la inteligencia artificial minimizando riesgos legales y construyendo confianza con clientes, empleados y administraciones.