EU AI Act para pymes: qué automatizaciones quedan afectadas y cómo prepararte antes de agosto de 2026

Guía práctica del EU AI Act para pymes: las 4 categorías de riesgo, dónde caen tus automatizaciones reales, obligaciones concretas y checklist para llegar listo a agosto de 2026.

El EU AI Act para pymes ha dejado de ser un debate de Bruselas y se ha convertido en una agenda con fechas concretas. El reglamento europeo de inteligencia artificial entró en vigor el 1 de agosto de 2024 y va aplicándose por fases. La más relevante para la mayoría de empresas llega el 2 de agosto de 2026: a partir de esa fecha será exigible el grueso de obligaciones para los sistemas de IA clasificados como de «alto riesgo».

La buena noticia es que no todas las automatizaciones que tienes en marcha caen dentro del reglamento, ni mucho menos. La mala es que algunas tan comunes como un filtro de currículos o una scoring de impagos sí entran de lleno. Este artículo es una guía pragmática, sin jerga jurídica, para que entiendas qué automatizaciones de tu empresa quedan afectadas y qué pasos dar antes del verano de 2026.

Lo escribimos desde la trinchera: implantamos automatizaciones con IA en pymes españolas y cada semana repasamos casos reales con esta lupa. Lo que sigue es lo que necesita saber un gerente, un responsable de operaciones o un IT manager — no un abogado.

Las 4 categorías de riesgo del EU AI Act explicadas para pymes

El reglamento clasifica los sistemas de IA según su impacto sobre derechos fundamentales y seguridad. Cada categoría implica obligaciones muy distintas:

  • Riesgo inaceptable (prohibido). Sistemas vetados en la UE desde febrero de 2025: scoring social tipo China, manipulación subliminal, identificación biométrica masiva en tiempo real, predicción policial puramente perfilada. Una pyme rara vez se cruza con esto.
  • Alto riesgo. El núcleo del reglamento. Aquí entran sistemas que afectan a empleo, educación, acceso a servicios esenciales, crédito, seguros, justicia o infraestructuras críticas. Es la categoría que más pymes ignoran y donde más se equivocan.
  • Riesgo limitado (obligaciones de transparencia). Chatbots, generadores de contenido, deepfakes. Obligación principal: avisar al usuario de que está interactuando con una IA o de que el contenido está generado por IA.
  • Riesgo mínimo. El 80-90% de las automatizaciones empresariales típicas: OCR de facturas, recomendadores de productos, filtros antispam, mantenimiento predictivo. No hay obligaciones nuevas más allá del código de buenas prácticas voluntario.

Dónde caen las automatizaciones típicas de una pyme

Para aterrizar las categorías, esto es lo que vemos en proyectos reales:

  • Filtrado automático de CVs y rankings de candidatos: alto riesgo (Anexo III, área de empleo). Si tu ATS puntúa, ordena o descarta candidatos con IA, eres usuario de un sistema de alto riesgo.
  • Scoring de impagos, riesgo crediticio o decisiones de seguros: alto riesgo. Aplica incluso si lo usas internamente para decidir condiciones de pago a clientes.
  • Evaluación de empleados con IA (productividad, promociones): alto riesgo.
  • Chatbot de atención al cliente en tu web o WhatsApp: riesgo limitado. Obligación de informar de que es una IA.
  • Asistente IA que redacta respuestas a emails que un humano revisa antes de enviar: riesgo mínimo. No hay obligaciones nuevas.
  • OCR de facturas que entran a tu ERP, conciliación bancaria, clasificación de gastos: riesgo mínimo.
  • Recomendadores de producto en ecommerce, mantenimiento predictivo, detección de anomalías: riesgo mínimo.
  • Imágenes o textos generados por IA publicados sin etiquetar: riesgo limitado. Hay que marcarlos como contenido sintético.

Una regla mental útil: si la salida de la IA decide algo sobre una persona (contratarla, prestarle dinero, evaluarla, vigilarla), prepárate para alto riesgo. Si la salida es un dato administrativo que un humano usa para trabajar más rápido, casi siempre es riesgo mínimo.

Obligaciones reales si tienes un sistema de alto riesgo

Conviene distinguir si eres proveedor (desarrollas y vendes el sistema) o responsable del despliegue (lo usas en tu empresa). La mayoría de pymes son responsables del despliegue de herramientas de terceros, y sus obligaciones son más ligeras pero existen:

  • Usar el sistema conforme a las instrucciones del proveedor y mantener registros de su uso.
  • Asignar supervisión humana efectiva: una persona con autoridad real para corregir o desactivar el sistema.
  • Asegurarse de que los datos de entrada son relevantes y representativos para el caso de uso.
  • Informar a los trabajadores y a sus representantes antes de poner en marcha un sistema de alto riesgo en el puesto de trabajo.
  • Comunicar incidentes graves al proveedor y, en su caso, a la autoridad nacional.
  • Mantener una evaluación de impacto sobre derechos fundamentales cuando aplique (típica en banca, seguros, sector público).
  • Conservar los logs generados por el sistema durante al menos seis meses.

Las sanciones máximas llegan a 35 M€ o el 7% de la facturación global por las infracciones más graves. Para pymes hay topes proporcionales, pero el régimen es serio.

Plazos clave 2025-2027

  • 2 de febrero de 2025: en vigor las prohibiciones y la obligación de «alfabetización en IA» del personal que opera sistemas de IA.
  • 2 de agosto de 2025: obligaciones para modelos de propósito general (GPAI) y arranque de las autoridades nacionales y la Oficina Europea de IA.
  • 2 de agosto de 2026: aplicación general. Aquí caen las obligaciones para los sistemas de alto riesgo del Anexo III (empleo, crédito, educación, servicios esenciales, etc.).
  • 2 de agosto de 2027: obligaciones para sistemas de alto riesgo embebidos en productos regulados (Anexo I: maquinaria, dispositivos médicos, juguetes, ascensores…).

Checklist de cumplimiento para una pyme

  1. Inventario. Lista todos los sistemas y automatizaciones que usan IA, incluyendo Copilot, ChatGPT integrado, herramientas SaaS y proyectos internos con n8n o RPA.
  2. Clasifica cada uno en una de las cuatro categorías. Documenta el razonamiento.
  3. Forma a tu equipo. La obligación de «AI literacy» ya es exigible desde febrero de 2025 y aplica a cualquier persona que opere o se vea afectada por sistemas de IA.
  4. Etiqueta chatbots y contenido generado en webs, emails y redes.
  5. Pide a tus proveedores documentación técnica, declaración de conformidad y marcado CE de sus sistemas de alto riesgo.
  6. Diseña supervisión humana donde corresponda: roles, autoridad para parar el sistema, registros.
  7. Actualiza políticas internas: contratos con proveedores, política de uso de IA, información a los trabajadores, RGPD vinculado.

¿Tiene sentido reaccionar ya?

Sí, pero con cabeza. La mayoría de pymes acabarán comprobando que sus automatizaciones reales son de riesgo mínimo y el trabajo se concentra en dos o tres herramientas concretas. Ese mapa rápido es exactamente lo que conviene tener antes de agosto de 2026, no después.

En AIPROCESSIA hacemos esa auditoría con un enfoque de proceso, no de papeleo: identificamos qué automatizaciones tienes, las clasificamos, sugerimos cambios técnicos cuando algo se puede bajar de categoría rediseñándolo (por ejemplo, manteniendo el «humano en el bucle» en una decisión que afecta a personas) y dejamos un plan accionable.

Contacta con nosotros y analizamos tu caso gratuitamente →


Jose A. Parra - CEO y fundador de AIPROCESSIA

Sobre el autor


CEO y fundador de AIPROCESSIA — 30 años como consultor TI en pymes españolas.

Implanto desde hace tres décadas ERP, integraciones y, desde 2023, agentes IA, RPA y OCR en flujos reales de facturación, mantenimiento y atención al cliente. Mi enfoque: automatizar 5 procesos clave por menos de 100 €/mes y devolver 20-40 horas semanales al equipo, sin reemplazar a nadie.

Certificado Curso Superior Experto en IA Generativa · UDIA · 2026.

LinkedIn →
Web personal →



Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *