Primero, lo que no es: el AI Act no prohíbe que uses IA
Muchas pymes han oído que "viene una ley de IA" y han decidido no tocar nada hasta que la cosa se aclare. Es el error más caro que pueden cometer. El Reglamento Europeo de Inteligencia Artificial, el AI Act, no prohíbe que uses IA en tu empresa. Lo que hace es clasificar los usos por nivel de riesgo y pedirte más o menos cosas según ese nivel.
Y la realidad es que casi todo lo que hace una pyme hoy con IA (un chatbot de atención, un modelo que estima la demanda, un copiloto que te resume informes) cae en la franja de riesgo bajo o limitado, donde las obligaciones son perfectamente razonables. Quedarte paralizado por miedo es renunciar a una ventaja por una amenaza que, en tu caso, probablemente no existe.
Las fechas que importan, y por qué agosto de 2026 es la grande
El calendario real es este. Desde el 2 de agosto de 2025 ya se aplican las reglas para los modelos de IA de propósito general, los grandes modelos que hay detrás de muchas de las herramientas que usas sin saberlo. El 2 de agosto de 2026 entra en vigor el grueso del reglamento: los sistemas de alto riesgo del Anexo III y las obligaciones de transparencia. Y los usos de más alto riesgo (biometría, infraestructura crítica, empleo, fronteras) se han aplazado hasta diciembre de 2027.
Para una pyme, la fecha que marca el calendario es agosto de 2026. Es decir, quedan meses, no años. El tiempo justo para llegar preparado si empiezas ahora, y el justo para llegar con prisas si lo dejas para después de verano.
¿En qué nivel de riesgo está lo que tú haces?
El reglamento ordena los usos en cuatro cajones. El de riesgo inaceptable está prohibido directamente (puntuación social, manipulación), y casi seguro no te afecta. El de alto riesgo es donde hay obligaciones serias: aquí entra la IA que toma o condiciona decisiones sobre personas. El de riesgo limitado pide básicamente transparencia. Y el de riesgo mínimo, donde está la mayoría, casi no pide nada.
La pregunta práctica que te coloca en el mapa es una sola: ¿tu IA toma o influye en decisiones sobre personas? Si filtras currículums, decides límites de crédito o evalúas a empleados con ayuda de un modelo, estás en territorio de alto riesgo y conviene asesorarse. Si no, lo más probable es que estés en transparencia o en mínimo, y el trabajo es mucho más liviano.
Lo que sí tienes que hacer aunque seas riesgo bajo
Aunque caigas en la franja cómoda, hay tres cosas que conviene tener. La primera es transparencia: si un cliente habla con un chatbot, tiene derecho a saber que es una máquina; si publicas contenido generado por IA, tiene que poder identificarse como tal. La segunda es la llamada alfabetización en IA: tu equipo necesita una formación mínima sobre las herramientas que usa, no un máster, pero sí saber qué hacen y dónde fallan. La tercera es tener algo de registro de qué usas y para qué. Nada de esto es burocracia pesada; es sentido común puesto por escrito.
Hay alivio pensado para pymes, y conviene usarlo
La UE ha metido un marco simplificado específico para empresas pequeñas: guías más sencillas, plantillas de documentación estandarizadas, multas reducidas y acceso a entornos de prueba supervisados, los llamados sandboxes regulatorios. De hecho han ampliado el paraguas de "pyme" a empresas de hasta 750 empleados y 150 millones de euros de facturación, y cada país tiene que tener al menos un sandbox operativo para agosto de 2026.
La traducción es sencilla: el legislador ha intentado que esto no te aplaste. Pero el alivio no llega solo, hay que conocerlo y pedirlo. La pyme que sepa que existe juega con ventaja sobre la que asume que la ley es igual de dura para todos.
El trabajo de verdad no es legal, es de datos
Y aquí va mi parte, la que casi nadie te cuenta. Casi todo lo que el AI Act te va a pedir (saber qué datos usa tu IA, de dónde salen, si están sesgados, poder explicar una decisión, llevar un registro) es, en el fondo, gobernanza de datos. Si tienes claro qué datos alimentan cada sistema, con qué calidad y con qué definición, cumplir es básicamente documentarlo.
El problema aparece cuando tus datos están repartidos en quince Excels y nadie sabe de dónde sale cada número. En ese caso el problema no es la ley: es que no tienes control sobre tu propia información, y la ley solo te lo ha puesto delante de las narices.
El AI Act no te obliga a entender tus datos. Te obliga a demostrar que los entiendes. Y eso solo se puede fingir hasta que alguien pregunta.
Por dónde empezar, en concreto
El primer paso es un inventario simple de dónde usas IA hoy, incluido lo que entra por la puerta de atrás: un comercial usando ChatGPT por su cuenta, una herramienta de tu stack que ha estrenado copiloto. Para cada uso, te preguntas si toca decisiones sobre personas. Activas avisos de transparencia donde haya contacto con clientes. Le das a tu equipo una formación básica. Y solo si algo cae en alto riesgo, ahí sí, te asesoras con alguien legal especializado.
La mayoría de las pymes no llega al último paso. Pero todas se benefician de hacer los primeros, porque ordenar lo que tienes es útil con ley o sin ella.
La conclusión
No dejes de usar IA por miedo a una ley que, leída con calma, premia justamente a quien tiene su casa de datos en orden. La pyme que llegue a agosto de 2026 sabiendo qué IA usa y con qué datos no solo cumple: decide mejor que su competencia. El resto va a descubrir, con prisas, que nunca supo del todo lo que tenía entre manos.