¿Mi pyme está afectada por el AI Act si solo usa ChatGPT?

El uso individual y puntual de IA generativa para tareas de bajo riesgo (emails, brainstorming, borradores) cae normalmente en riesgo mínimo o limitado. Las obligaciones principales son de transparencia (avisar cuando se genera contenido sintético) y de alfabetización del equipo. La situación cambia cuando esa misma IA se integra en procesos que afectan a personas.

¿Cuándo entran en vigor las obligaciones?

Tras el acuerdo del Omnibus del 7 de mayo de 2026: 2 de diciembre de 2026 para marcado de contenido sintético (Art. 50), 2 de diciembre de 2027 para sistemas de alto riesgo del Anexo III, y 2 de agosto de 2028 para IA integrada en productos regulados.

¿Estoy exento por ser una empresa andorrana?

No por defecto. Si el output de tu sistema se usa dentro de la UE (clientes españoles, franceses, etc.), el Reglamento te alcanza igual.

¿Qué hago si mi proveedor no sabe responder sobre su clasificación AI Act?

Pídeselo por escrito. Si no puede o no quiere contestar sobre uso previsto, clasificación y base de cualquier exclusión, eso ya es información: no estás comprando un sistema preparado para el marco regulatorio europeo.

¿Las multas son altas?

Sí. Hasta 35 millones de euros o 7% de la facturación mundial para usos prohibidos, hasta 15 millones o 3% para incumplimientos de alto riesgo. Para pymes el régimen es proporcional, pero no exento.

AI Act pyme — El inventario de IA que aún no tienes

AI Act 2026 — inventario de sistemas de IA para pymes europeas

Qué es el AI Act, en una frase

El AI Act es la primera ley europea que pone reglas a cómo las empresas pueden usar la inteligencia artificial. No prohíbe usarla. Lo que hace es clasificar los usos en niveles de riesgo según a quién afectan y qué decisiones toman: hay usos prohibidos, usos de alto riesgo (con obligaciones serias), usos de riesgo limitado (con obligaciones de transparencia) y usos de riesgo mínimo (sin obligaciones específicas).

Una IA que te ayuda a redactar emails no está en la misma liga que una IA que decide a quién contratar o quién cobra un crédito. Y eso es precisamente lo que el reglamento quiere ordenar.

El nombre oficial es Reglamento UE 2024/1689. Entró en vigor en agosto de 2024 y sus obligaciones se aplican por fases, con un calendario que se ha movido recientemente y que veremos a continuación.

El calendario se ha movido

Si hace unas semanas este artículo iba a llamarse «AI Act: la cuenta atrás de los tres meses», hoy el titular correcto es otro: haz ya el inventario de la IA que ya está dentro de tu empresa.

El motivo es doble. Primero, el calendario se ha movido. El 7 de mayo de 2026, Consejo y Parlamento de la UE alcanzaron un acuerdo político sobre el Digital Omnibus on AI, retrasando las obligaciones de alto riesgo:

2 de diciembre de 2027 para sistemas de alto riesgo del Anexo III (empleo, crédito, seguros, biometría, educación, infraestructuras críticas, etc.).
2 de agosto de 2028 para IA integrada en productos regulados del Anexo I (dispositivos médicos, máquinas, juguetes, ascensores).
2 de diciembre de 2026 para las obligaciones de transparencia y marcado de contenido sintético del artículo 50(2) — esta sí afecta directamente a cualquier pyme que use IA generativa en marketing.

Segundo, y más importante: el reloj regulatorio se ha movido, pero el trabajo que de verdad importa no se ha ido a ninguna parte. Lo que hace que sancionen no es el calendario. Es no saber qué IA tienes ni qué está decidiendo en tu nombre.

Por qué el inventario manda sobre el calendario

Automatizar mal sale más caro que no automatizar. Aplicado al AI Act, esto se traduce en algo concreto: el riesgo no está en «tener ChatGPT» o «poner IA a todo».

El riesgo está en dejar que una herramienta entre en RR. HH., scoring, seguros o biometría sin saber qué decide, con qué datos lo hace, cómo se supervisa y qué obligaciones arrastra.

Por eso no compro hoy el discurso de «cumplimiento exprés». Antes de hablar de cumplir, hay que descubrir qué IA tienes ya dentro de la empresa y dónde está tomando decisiones sobre personas. Sin ese inventario, «cumplir» es un eslogan.

El inventario que casi ninguna pyme tiene

La mayoría de pymes no «compra un sistema de IA». Compra un ATS (Applicant Tracking System, el software que recibe y filtra los currículums que entran a la empresa), un CRM, una suite de RR. HH., una plataforma de soporte, un ERP con módulo financiero, una herramienta de marketing o una función «copilot» que aparece activada en la siguiente renovación.

La IA entra en la empresa como una feature, no como un proyecto consciente. Y ahí es donde nace el problema regulatorio: estás «usando IA» sin haberlo decidido.

Los datos de Eurostat de 2025 sitúan en torno al 20% las empresas europeas de 10 o más trabajadores que ya utilizan al menos una tecnología de IA, frente al 13,5% en 2024 y el 8% en 2023. Es decir: casi el doble en dos años.

Entre las tecnologías más utilizadas, predominan las de análisis de texto (11,8%), generación de imágenes, vídeo y sonido (9,5%) y generación de lenguaje natural (8,8%). La IA ya está distribuida por el stack operativo de la empresa media — a menudo sin que la dirección sea del todo consciente.

Aquí está la diferencia entre una implantación seria y una mala implantación: antes de automatizar, hay que nombrar. Nombrar la herramienta, el módulo, el proveedor, el propósito real, la decisión que influye, el dato que toca, la persona afectada y el país donde se usan los resultados.

Si no puedes responder a esas preguntas, aún no estás «haciendo IA». Estás acumulando deuda operativa y, potencialmente, deuda regulatoria.

Esa lectura encaja con el corazón del Reglamento: la clasificación depende del uso previsto del sistema y del contexto en el que se despliega, no del marketing del proveedor.

Dónde aparece de verdad el alto riesgo

Aquí es donde casi todos los artículos generalistas fracasan: meten en el mismo saco cualquier software con IA. Eso no ayuda. El Anexo III sí ayuda, porque delimita zonas claras.

En empleo y RR. HH., son de alto riesgo los sistemas destinados a reclutar o seleccionar personas, colocar anuncios de empleo dirigidos, analizar y filtrar candidaturas o evaluar candidatos. También los que afectan condiciones de trabajo, promoción o despido, reparten tareas según comportamiento o rasgos personales, o monitorizan y evalúan el rendimiento de trabajadores.

En servicios privados esenciales, son de alto riesgo los sistemas destinados a evaluar la solvencia de personas físicas o establecer su scoring crediticio (salvo detección de fraude financiero) y los de tarificación y evaluación de riesgo en seguros de vida y salud.

En biometría, la identificación remota, la categorización biométrica sensible y el reconocimiento emocional ocupan la zona delicada. Algunas prácticas están directamente prohibidas, no reguladas: el reconocimiento emocional en el lugar de trabajo, por ejemplo, queda prohibido salvo supuestos médicos o de seguridad.

Eso significa que el ATS con scoring de CV, el software que analiza entrevistas grabadas, la herramienta que prioriza candidatos, el módulo que decide ascensos o detecta «performance risk», o el motor que asigna tareas según rasgos individuales, son la clase de software que una pyme debe revisar con lupa. También un motor de scoring para conceder crédito al consumo, o un sistema que ajuste precio y riesgo en seguro de vida o salud.

No hace falta que el proveedor lo llame «IA de alto riesgo». Si el uso previsto encaja en el Anexo III, el problema regulatorio existe igual.

En cambio, no todo CRM ni toda IA de marketing entra automáticamente en alto riesgo. Un CRM que resume llamadas comerciales, redacta emails de seguimiento, propone próximos pasos o predice churn no cae por sí solo en el Anexo III. Un generador de creatividades, un clasificador de tickets o un copiloto para redactar informes tampoco. En esos casos, la conversación está más cerca de transparencia, protección de datos y fiabilidad operativa que del régimen duro del alto riesgo.

Un matiz importante: el artículo 6(3) abre una puerta para que ciertos usos del Anexo III no se consideren alto riesgo si solo realizan una tarea procedimental estrecha, mejoran un resultado humano ya completado, detectan patrones sin sustituir la valoración humana o hacen una tarea preparatoria. Pero esa puerta se cierra cuando el sistema hace profiling de personas. Y, ojo: aunque un proveedor se acoja a esa excepción, el Omnibus de mayo de 2026 reinstauró la obligación de registrarlos igualmente en la base de datos europea.

Si un proveedor te dice «no te preocupes, esto no es alto riesgo», la respuesta profesional no es respirar tranquilo. Es pedirle su evaluación documentada y la base jurídica exacta de esa conclusión.

Andorra no está fuera por defecto

Desde Andorra se oye a menudo una frase peligrosa: «eso es cosa de la UE». No exactamente.

El AI Act se aplica a proveedores que ponen sistemas o modelos en el mercado de la Unión, a responsables del despliegue establecidos en la Unión y —especialmente relevante para Andorra— a proveedores y deployers de terceros países cuando el output del sistema se usa en la Unión. El propio considerando 22 del Reglamento pone un ejemplo claro: un operador establecido en la UE contrata servicios a uno de un tercer país y usa en la Unión el resultado producido por ese sistema.

Esto obliga a matizar el discurso local. Procesar datos de clientes europeos te mete casi seguro en una conversación RGPD. Pero el disparador del AI Act es otro: que el sistema o su resultado se ponga en el mercado o se use dentro de la Unión.

En términos prácticos: una pyme andorrana que ofrece a clientes de España o Francia un ATS con filtrado de CV, un scoring de candidatos, un motor de rating crediticio o un sistema que influye en decisiones sobre personas no queda fuera por estar en Andorra. En cambio, una empresa andorrana que usa internamente un copiloto de ventas o un resumidor de reuniones para procesos puramente internos, cuyos resultados no se usan en la Unión, está mucho menos expuesta.

Esa diferencia importa más que la nacionalidad de la sociedad.

Y en España, además, el marco institucional ya está montado. La AESIA (Agencia Española de Supervisión de Inteligencia Artificial) existe desde 2023, fue la primera agencia específica de supervisión de IA de un Estado miembro según la OCDE, y en 2026 ya se coordina con autoridades de protección de derechos fundamentales como autoridad de vigilancia del mercado. Para pymes españolas, no hay teoría: hay un órgano con competencia sancionadora real.

Lo que tienes que mirar esta semana

Si tuviera que traducir todo esto a una decisión empresarial rápida, usaría una matriz de tres zonas.

Zona roja. Herramientas que afectan directamente a personas en empleo, crédito, seguros de vida o salud, biometría o reconocimiento emocional. Aquí no basta con una revisión funcional: hace falta clasificación formal del sistema, vendor due diligence y, si procede, preparación documental seria.

Zona ámbar. Herramientas aparentemente «de apoyo» en RR. HH., operaciones o servicios que en la práctica pueden influir materialmente en decisiones humanas. La pregunta clave: ¿la IA solo prepara material, o de facto filtra, puntúa, prioriza o condiciona el resultado? Si el proveedor se refugia en el artículo 6(3), pídele la evaluación documentada. Si además interactúa con personas o genera contenido sintético, revisa también obligaciones de transparencia.

Zona verde. Funciones internas como resumen de reuniones, transcripción, búsqueda semántica, ayuda a redactar, apoyo documental o detección de fraude sin scoring de personas físicas. Aquí normalmente no estás en Anexo III, pero sí deberías tener gobierno básico: responsable interno, política de uso, control de datos, validación humana y alfabetización mínima del equipo.

El test rápido que recomiendo a cualquier pyme. Abre tu stack de software y localiza cinco cosas:

El ATS o herramienta de selección.
La suite de RR. HH.
El CRM.
La plataforma de marketing o call center.
Cualquier herramienta financiera que puntúe, recomiende o automatice decisiones sobre personas.

Después, pide por escrito a cada proveedor cuatro cosas: el uso previsto del sistema, su clasificación según el AI Act, el fundamento de cualquier exclusión del artículo 6(3) que invoque, y si corresponde registro en la base de datos europea.

Esa base de datos será pública. Si el proveedor no sabe contestar, no estás comprando innovación. Estás comprando una contingencia.

Lo que aún no está del todo cerrado

Dos cautelas, por honestidad.

La primera es de calendario. El acuerdo del Omnibus es político y provisional: el texto final aún tiene que adoptarse formalmente. Para decisiones de compliance, presupuesto o procurement, sigue la versión final aplicable cuando la haya, no un titular viejo. En mayo de 2026 conviven fuentes con el calendario original y con el nuevo; eso va a ir limpiándose en las próximas semanas.

La segunda es de arquitectura española de enforcement. La AESIA ya es un actor central y visible, y España ha desarrollado guías y coordinación institucional reales. Pero la distribución final de autoridades sectoriales, medidas nacionales y régimen de ejecución debe comprobarse en el BOE vigente cuando haya que tomar una posición jurídica cerrada.

Si lo que quieres no es una clase magistral sobre el AI Act, sino evitar el error más caro, la conclusión es mucho más simple.

El punto importante

No se trata de «cumplir el AI Act» en abstracto. Se trata de saber qué IA tienes ya dentro de la empresa y dónde está tomando decisiones sobre personas.

Sin ese inventario, todo lo demás es marketing regulatorio. Con ese inventario, el AI Act deja de ser una amenaza vaga y se convierte en una lista concreta de cosas que decidir.

5 usos de IA que multa el AI Act (y que probablemente ya tienes).