La inteligencia artificial ya no es una curiosidad en las empresas: se ha colado en tareas tan cotidianas como redactar emails, resumir reuniones, clasificar incidencias de soporte o analizar datos de ventas. En España, el Instituto Nacional de Estadística sitúa en el 21,1% el porcentaje de empresas de 10 o más empleados que utilizaba IA en el primer trimestre de 2025.
El cambio relevante es que esa adopción masiva empieza a convivir con un marco normativo exigente. El Reglamento UE 2024/1689 (conocido como AI Act) fija obligaciones para proveedores y para organizaciones que despliegan sistemas de IA en su actividad, y España ha creado un esquema nacional de gobernanza en el que destaca la AESIA como organismo con misión de supervisión y apoyo.
Sanciones: por qué se habla de cifras tan altas
Las multas no son un recurso retórico para asustar: están en el propio texto del AI Act. La Comisión Europea recoge que ciertas infracciones, como incumplir prohibiciones de prácticas vetadas, pueden llegar hasta 35 millones de euros o hasta el 7% de la facturación mundial anual, aplicándose el importe que corresponda según el supuesto.
Para una pyme, estas cifras suenan tan desproporcionadas como si te multaran por no llevar el ticket de compra en el bolsillo. La clave es entender que el reglamento distingue niveles de riesgo y conductas, y que el propio marco de sanciones pide que sean efectivas y disuasorias, pero también proporcionadas, teniendo en cuenta el contexto de pymes y startups.
Agosto de 2026 como fecha crítica, con día y mes
Buena parte de las obligaciones que más afectan al día a día del uso empresarial, como las de transparencia para determinados sistemas, se alinean con el calendario de aplicación progresiva. En la guía de la Comisión Europea sobre el reglamento se indica que obligaciones de transparencia del artículo 50 pasan a ser aplicables el 2 de agosto de 2026.
Traducido a lenguaje de negocio: 2026 no es “un año más”. Es el momento en el que muchas empresas deberán pasar de “estamos probando herramientas” a “tenemos un uso gobernado, documentado y supervisado”.
El primer paso realista: hacer un inventario de herramientas de IA
Muchas organizaciones no saben cuánta IA usan hasta que la buscan con calma. Es como abrir el armario de la cocina y descubrir que hay cinco botes de especias repetidos: uno en la puerta, otro en el fondo y otro “por si acaso”. Con la IA ocurre igual, solo que cada herramienta puede tener impacto en privacidad, sesgos o derechos.
El enfoque práctico es mantener un inventario de herramientas de IA que no sea un documento decorativo, sino una foto actualizada: qué se usa, para qué proceso, con qué datos, quién lo opera y si el sistema podría considerarse de riesgo bajo, medio o alto riesgo según el caso. Esta visibilidad es el punto de partida para cumplir con exigencias de transparencia y para tomar decisiones: si una herramienta genera textos para marketing, el impacto no es el mismo que si sugiere candidatos en selección.
Lo que hay que pedir a los proveedores, aunque “solo sea una app”
En pymes es habitual consumir IA como servicio. Se compra una licencia, se activa un plugin o se integra una API y listo. El problema es pensar que la responsabilidad se delega por completo. El AI Act reparte obligaciones entre quien crea el sistema y quien lo despliega; por eso, la relación con el proveedor necesita más rigor que el clásico “¿funciona bien?”.
En la práctica, conviene exigir documentación técnica y pautas de uso seguro. No para leer un manual de 200 páginas, sino para responder preguntas sencillas que un auditor también haría: qué datos se usan, cómo se gestionan incidencias, qué límites reconoce el sistema, qué medidas existen para reducir errores y sesgos. Cuando una herramienta influye en decisiones relevantes, esa trazabilidad deja de ser un “extra” y se convierte en una pieza de cumplimiento.
La alfabetización en IA: formación que evita sustos
Instalar una herramienta es fácil; usarla bien es otra historia. La normativa impulsa la idea de alfabetización en IA, que en el mundo real se parece a enseñar a conducir: no basta con dar las llaves, hay que explicar señales, riesgos y reglas.
Una formación útil no es un curso teórico eterno. Funciona mejor cuando baja a situaciones de oficina: cómo detectar alucinaciones en respuestas generativas, cómo evitar introducir datos sensibles en un chat, cómo redactar prompts sin sesgos, qué hacer si un resultado parece discriminatorio, cuándo escalar una duda. También ayuda a reducir la “falsa seguridad” del empleado que confunde fluidez con veracidad, como quien cree que un mapa bonito siempre lleva al destino correcto.
Revisión humana en decisiones críticas: el “copiloto” no puede dormirse
Uno de los puntos más delicados es la supervisión en casos de alto riesgo. No todo uso de IA es crítico, pero cuando se aplica a selección de personal, evaluación de rendimiento, crédito, solvencia o ámbitos que afectan oportunidades de las personas, la automatización completa se vuelve peligrosa. Aquí la revisión humana no es un trámite: es el mecanismo que evita que un error estadístico se transforme en una injusticia real.
Pensarlo como “piloto automático” ayuda. En un coche moderno, el sistema puede mantener carril y distancia, pero el conductor sigue responsable, atento y listo para intervenir. En empresa, esa intervención exige roles claros: quién revisa, qué criterios usa, qué se documenta, cómo se corrigen decisiones, cómo se gestiona la reclamación de un afectado.
Lo prohibido: cuando la IA cruza líneas rojas
La Unión Europea ha decidido marcar prácticas que considera incompatibles con derechos fundamentales. Entre ellas están ciertos usos de categorización biométrica por rasgos sensibles, la puntuación social y técnicas de manipulación especialmente intrusivas. La idea no es frenar la innovación, sino cortar de raíz usos que pueden convertirse en vigilancia o discriminación sistemática.
Para una pyme, esto suele sonar lejano, hasta que aparece en forma de “solución milagro” de un proveedor: un software que promete medir emociones en entrevistas, un sistema que puntúa a clientes por “fiabilidad” con variables opacas o un reconocimiento facial fuera de supuestos muy restringidos. La prevención aquí es simple: si la herramienta toca biometría, perfiles sensibles o decisiones automatizadas con impacto fuerte, hay que elevar el nivel de revisión y consultar criterios especializados.
Un checklist como punto de partida, no como salvoconducto
En este contexto han surgido iniciativas privadas para ayudar a las empresas a ubicarse. La tecnológica Cosmomedia, por ejemplo, ha difundido un checklist de autoevaluación para que las organizaciones midan su grado de cumplimiento y detecten huecos en inventario, documentación, formación y supervisión humana, con el objetivo de aportar claridad en un marco que muchas pymes aún desconocen, según ha expresado su dirección.
Conviene usar estas herramientas como brújula, no como certificado. Un checklist bien diseñado sirve para descubrir lo obvio que se estaba escapando: una cuenta compartida sin control, un uso de datos personales en un chatbot interno, una integración que nadie documentó. El valor real está en convertir ese diagnóstico en acciones: definir responsables, calendarizar formación, pedir documentación al proveedor y establecer reglas de revisión en procesos sensibles.
La oportunidad detrás del cumplimiento: confianza operativa
Cumplir no es solo evitar multas. También es ganar estabilidad. Una pyme que sabe qué herramientas usa, qué datos toca, quién supervisa y qué decisiones no automatiza, trabaja con menos sorpresas. Y en un entorno en el que clientes, partners y administraciones pedirán cada vez más garantías, ese orden interno se convierte en ventaja competitiva.