Espa­ña se apro­xi­ma al pla­zo lími­te para la ple­na imple­men­ta­ción del Regla­men­to Euro­peo sobre inte­li­gen­cia arti­fi­cial. Las pymes, que ya incor­po­ran IA en sus ope­ra­cio­nes, deben adap­tar­se de inme­dia­to para evi­tar san­cio­nes que podrían supe­rar los sie­te millo­nes de euros, según exper­tos de la tec­no­ló­gi­ca Cos­mo­me­dia.

La inte­li­gen­cia arti­fi­cial (IA) se ha con­ver­ti­do en una herra­mien­ta coti­dia­na para las peque­ñas y media­nas empre­sas (pymes) de Espa­ña. Según datos del Ins­ti­tu­to Nacio­nal de Esta­dís­ti­ca (INE), el 21,1% de las empre­sas con 10 o más emplea­dos ya uti­li­za IA en su ope­ra­ti­va dia­ria. Sin embar­go, pocas cuen­tan con polí­ti­cas inter­nas que ase­gu­ren el cum­pli­mien­to del nue­vo mar­co nor­ma­ti­vo euro­peo y espa­ñol.

En agos­to de 2026 ven­ce el pla­zo para la adap­ta­ción com­ple­ta al Regla­men­to UE ²⁰²⁴⁄₁₆₈₉, que en Espa­ña se desa­rro­lla a tra­vés de la Ley para el Buen Uso y la Gober­nan­za de la Inte­li­gen­cia Arti­fi­cial, super­vi­sa­da por la Agen­cia Espa­ño­la de Super­vi­sión de la Inte­li­gen­cia Arti­fi­cial (AESIA). Esta legis­la­ción esta­ble­ce obli­ga­cio­nes con­cre­tas para garan­ti­zar el uso segu­ro y trans­pa­ren­te de la IA, y esta­ble­ce san­cio­nes seve­ras para quie­nes incum­plan la nor­ma­ti­va.

“Con este chec­klist que­re­mos apor­tar luz en un mar­co nor­ma­ti­vo que muchas pymes des­co­no­cen, ade­más de ayu­dar­les a cum­plir con todos los pará­me­tros de la nor­ma­ti­va y garan­ti­zar su segu­ri­dad digi­tal”, seña­la José Manuel Fuen­tes, CEO de Cos­mo­me­dia, la tec­no­ló­gi­ca que ha ela­bo­ra­do una guía de seis cla­ves para el cum­pli­mien­to legal de la IA en pymes.

Inven­ta­rio de herra­mien­tas y docu­men­ta­ción téc­ni­ca

El pri­mer paso reco­men­da­do por Cos­mo­me­dia es crear un inven­ta­rio deta­lla­do de todas las herra­mien­tas de IA que la empre­sa uti­li­za. Este regis­tro debe incluir des­de asis­ten­tes de redac­ción has­ta soft­wa­re de aná­li­sis de datos, indi­can­do su fina­li­dad y nivel de ries­go. Según la guía, esta medi­da es la base para la trans­pa­ren­cia exi­gi­da por la ley.

Ade­más, la nor­ma­ti­va esta­ble­ce que los pro­vee­do­res de IA —ya que la mayo­ría de las pymes no desa­rro­llan sus pro­pios sis­te­mas— deben entre­gar docu­men­ta­ción téc­ni­ca com­ple­ta y manua­les de uso que cer­ti­fi­quen el cum­pli­mien­to legal. Este requi­si­to per­mi­te que las empre­sas pue­dan demos­trar la segu­ri­dad y lega­li­dad de los sis­te­mas que imple­men­tan.

For­ma­ción del per­so­nal: la alfa­be­ti­za­ción en IA

Más allá de ins­ta­lar el soft­wa­re, la ley obli­ga a las empre­sas a garan­ti­zar la for­ma­ción de sus emplea­dos. La nor­ma­ti­va requie­re que la plan­ti­lla reci­ba ins­truc­ción sobre el fun­cio­na­mien­to de la IA, los ses­gos que pue­de con­lle­var y cómo emplear­la correc­ta­men­te. Cos­mo­me­dia des­ta­ca que la “alfa­be­ti­za­ción en IA” no solo pro­te­ge a la empre­sa fren­te a san­cio­nes, sino que tam­bién mini­mi­za ries­gos de erro­res en la toma de deci­sio­nes auto­ma­ti­za­da.

Super­vi­sión huma­na en sis­te­mas de alto ries­go

El regla­men­to cla­si­fi­ca algu­nos usos de la IA como de “Alto Ries­go”, espe­cial­men­te aque­llos rela­cio­na­dos con selec­ción de per­so­nal, aná­li­sis de ren­di­mien­to, cali­fi­ca­ción cre­di­ti­cia o infra­es­truc­tu­ras crí­ti­cas como agua, gas o elec­tri­ci­dad. En estos casos, la ley prohí­be la auto­ma­ti­za­ción total y exi­ge revi­sión huma­na.

Este requi­si­to bus­ca garan­ti­zar que deci­sio­nes sen­si­bles no depen­dan úni­ca­men­te de algo­rit­mos, pro­te­gien­do dere­chos fun­da­men­ta­les de los ciu­da­da­nos. “Siem­pre debe exis­tir la super­vi­sión huma­na”, sub­ra­ya la guía de Cos­mo­me­dia, des­ta­can­do que la revi­sión es cla­ve para pre­ve­nir erro­res y pro­te­ger tan­to a emplea­dos como a clien­tes.

Prohi­bi­cio­nes abso­lu­tas: IA de ries­go inacep­ta­ble

El mar­co euro­peo esta­ble­ce que cier­tos usos de IA son com­ple­ta­men­te ile­ga­les. Entre ellos se inclu­yen la cate­go­ri­za­ción bio­mé­tri­ca basa­da en creen­cias, la pun­tua­ción social y el reco­no­ci­mien­to facial no auto­ri­za­do. La ley con­si­de­ra estas prác­ti­cas de “ries­go inacep­ta­ble” por su poten­cial de vul­ne­rar dere­chos fun­da­men­ta­les y mani­pu­lar la con­duc­ta de las per­so­nas.

Las pymes que man­ten­gan sis­te­mas prohi­bi­dos se enfren­tan a las san­cio­nes más seve­ras del regla­men­to, que en casos extre­mos pue­den ascen­der has­ta 35 millo­nes de euros o al 7% de la fac­tu­ra­ción glo­bal anual de la empre­sa. No obs­tan­te, la ley con­tem­pla meca­nis­mos de pro­por­cio­na­li­dad para star­tups y pymes, apli­can­do la cuan­tía menor para pro­te­ger la via­bi­li­dad del nego­cio.

Régi­men san­cio­na­dor y auto­eva­lua­ción

El cum­pli­mien­to nor­ma­ti­vo es obli­ga­to­rio, pero el legis­la­dor ha intro­du­ci­do medi­das de fle­xi­bi­li­dad para peque­ñas orga­ni­za­cio­nes. Las san­cio­nes se cal­cu­lan de mane­ra pro­por­cio­nal, de mane­ra que una pyme no vea com­pro­me­ti­da su con­ti­nui­dad finan­cie­ra.

Para faci­li­tar la adap­ta­ción, Cos­mo­me­dia ha pues­to a dis­po­si­ción de las empre­sas un chec­klist de auto­eva­lua­ción onli­ne, que per­mi­te ana­li­zar el gra­do de cum­pli­mien­to con los requi­si­tos del IA ACT. Esta herra­mien­ta ayu­da a iden­ti­fi­car áreas crí­ti­cas, corre­gir des­via­cio­nes y pre­pa­rar a la orga­ni­za­ción para ins­pec­cio­nes regu­la­to­rias.

Áreas crí­ti­cas y retos para las pymes

El infor­me des­ta­ca que los sec­to­res más sen­si­bles al ries­go de incum­pli­mien­to se encuen­tran en depar­ta­men­tos de recur­sos huma­nos, aten­ción al clien­te, salud, dise­ño y ser­vi­cios de gene­ra­ción de infor­mes o con­te­ni­dos. En estas áreas, el uso de IA es fre­cuen­te y las con­se­cuen­cias de erro­res o deci­sio­nes ses­ga­das pue­den ser sig­ni­fi­ca­ti­vas.

Exper­tos coin­ci­den en que, mien­tras muchas pymes han incor­po­ra­do la inte­li­gen­cia arti­fi­cial de mane­ra expe­ri­men­tal, el año 2026 será deci­si­vo para trans­for­mar esa expe­ri­men­ta­ción en cum­pli­mien­to real. El pla­zo lími­te de agos­to mar­ca el fin del perío­do tran­si­to­rio y la obli­ga­ción de que todas las ope­ra­cio­nes con IA se ajus­ten a la nor­ma­ti­va euro­pea.

Para José Manuel Fuen­tes, la digi­ta­li­za­ción y la regu­la­ción no son con­tra­dic­to­rias. “El obje­ti­vo es que las pymes pue­dan apro­ve­char la IA de mane­ra res­pon­sa­ble, pro­te­gien­do tan­to a sus tra­ba­ja­do­res como a sus clien­tes, y evi­tan­do san­cio­nes que pue­dan com­pro­me­ter su nego­cio”, expli­ca. Según Cos­mo­me­dia, la cla­ve está en com­bi­nar for­ma­ción inter­na, inven­ta­rios pre­ci­sos y revi­sión huma­na de los sis­te­mas crí­ti­cos.

El desa­fío para las empre­sas espa­ño­las es doble: apro­ve­char la inte­li­gen­cia arti­fi­cial para mejo­rar la efi­cien­cia y com­pe­ti­ti­vi­dad, y al mis­mo tiem­po cum­plir con un mar­co legal que, aun­que exi­gen­te, bus­ca garan­ti­zar trans­pa­ren­cia, equi­dad y segu­ri­dad.