Resumen rápido:
El EU AI Act clasifica los sistemas de IA en 4 niveles de riesgo. La mayoría de chatbots y asistentes que usan las pymes caen en riesgo limitado: solo exige transparencia (avisar de que es una IA). Las prohibiciones ya están en vigor desde febrero de 2025 y las sanciones más altas llegan hasta 35M € o el 7% de la facturación global.
1. Qué es el EU AI Act y a quién afecta
El EU AI Act (Reglamento (UE) 2024/1689) es la primera ley integral del mundo sobre inteligencia artificial. No regula "la IA" en abstracto, sino los sistemas concretos que las empresas desarrollan o usan, clasificándolos según el riesgo que suponen para las personas.
Aplica con un alcance muy amplio: afecta a cualquier empresa que desarrolle, distribuya o use un sistema de IA cuyo resultado se use dentro de la UE, tenga o no sede en territorio europeo. Esto incluye tanto a una startup que construye su propio modelo como a una pyme que simplemente contrata un chatbot con GPT para atender clientes.
La buena noticia: el reglamento distingue muy claramente entre casos de alto impacto (que requieren procesos serios de cumplimiento) y usos cotidianos como un asistente virtual, que solo exigen buenas prácticas básicas de transparencia.
2. Los cuatro niveles de riesgo
Todo el reglamento gira en torno a esta clasificación. Identificar en qué nivel cae tu sistema de IA es el primer paso de cualquier plan de cumplimiento:
Riesgo inaceptable — prohibido
ProhibidoSistemas que manipulan el comportamiento de las personas, scoring social, reconocimiento de emociones en el trabajo o en centros educativos, y categorización biométrica basada en datos sensibles. Directamente prohibidos en la UE desde febrero de 2025. Ninguna empresa española legítima debería tener sistemas en esta categoría.
Alto riesgo — obligaciones estrictas
ExigenteSistemas usados en selección de personal, scoring crediticio, evaluación de solvencia, infraestructuras críticas o dispositivos médicos. Requieren evaluación de conformidad, registro en una base de datos europea, supervisión humana documentada y gestión de riesgos continua. Son obligaciones equivalentes a las de un producto médico, no a las de un software cualquiera.
Riesgo limitado — transparencia
La mayoría de pymesChatbots, asistentes virtuales, sistemas que generan contenido (texto, imagen, audio, vídeo) y deepfakes. La obligación principal es informar al usuario de que está interactuando con una IA y, en el caso de contenido generado o manipulado, etiquetarlo como tal. Es el nivel donde caen la mayoría de proyectos de IA que implemento para clientes.
Riesgo mínimo — sin obligaciones específicas
LibreFiltros de spam, sistemas de recomendación de productos, videojuegos con IA, herramientas internas de productividad. La inmensa mayoría de aplicaciones de IA caen aquí y el reglamento no impone obligaciones legales adicionales, más allá de buenas prácticas voluntarias.
3. Plazos: cuándo entra en vigor cada obligación
El reglamento se aplica de forma escalonada, no de golpe. Este es el calendario real:
| Fecha | Qué entra en vigor |
|---|---|
| Agosto 2024 | Entrada en vigor oficial del reglamento (publicado en el DOUE) |
| Febrero 2025 | Prohibiciones de prácticas de riesgo inaceptable + obligación de formación en IA para el personal que la usa |
| Agosto 2025 | Obligaciones para proveedores de modelos de IA de propósito general (GPT, Claude, Gemini y similares) |
| Agosto 2026 | Obligaciones de transparencia (riesgo limitado) y régimen sancionador plenamente aplicable |
| Agosto 2027 | Obligaciones completas para sistemas de alto riesgo (evaluación de conformidad, registro, etc.) |
En la práctica: si tu empresa usa chatbots o IA generativa, ya deberías tener implementadas las obligaciones de transparencia. No merece la pena esperar al último plazo — son cambios sencillos de aplicar y evitan sanciones cuando la supervisión se intensifique.
4. Sanciones por incumplimiento
Las multas están diseñadas para ser disuasorias incluso para grandes tecnológicas, con topes muy superiores a los del RGPD:
Por usar o comercializar sistemas de IA de las categorías prohibidas (riesgo inaceptable).
Por incumplir las obligaciones de sistemas de alto riesgo o las obligaciones de los modelos de propósito general.
Por dar información incorrecta, incompleta o engañosa a las autoridades de supervisión.
Para pymes, el reglamento contempla que las multas se apliquen de forma proporcionada al tamaño y la capacidad económica de la empresa — pero eso no significa que estén exentas de cumplir, solo que el cálculo de la sanción tiene en cuenta el contexto.
5. Qué debe hacer tu empresa en la práctica
Para la mayoría de pymes españolas que usan IA generativa o chatbots, el plan de cumplimiento es mucho más sencillo de lo que parece:
Lista todos los sistemas que usas: chatbot web, generación de contenido, scoring de clientes, herramientas internas con IA. Sin este inventario no puedes saber qué nivel de riesgo te aplica.
Para la mayoría será "riesgo limitado" (chatbots, generación de contenido) o "riesgo mínimo" (herramientas de productividad interna). Si usas IA para decisiones de contratación, crédito o similares, revisa con más detalle las obligaciones de alto riesgo.
Si tienes un chatbot, asegúrate de que el usuario sabe que habla con una IA (un simple texto o icono es suficiente en la mayoría de casos). Si generas contenido con IA que podría confundirse con contenido humano, etiquétalo.
El reglamento exige "alfabetización en IA" del personal que opera estos sistemas: entender qué hace la herramienta, sus limitaciones y los riesgos básicos. No hace falta un curso certificado, pero sí formación documentada.
Guarda un registro simple de qué sistemas usas, para qué y qué medidas de transparencia aplicas. En caso de inspección, tener esto por escrito reduce enormemente el riesgo de sanción.
6. Casos comunes en pymes españolas
Algunos ejemplos concretos de cómo se clasifican los usos de IA más habituales:
| Caso de uso | Nivel de riesgo | Obligación principal |
|---|---|---|
| Chatbot de atención al cliente | Limitado | Avisar de que es una IA |
| Generación de contenido de marketing | Limitado | Etiquetar si puede confundirse con contenido humano |
| Automatización interna de procesos administrativos | Mínimo | Sin obligación legal específica |
| Cribado automático de currículums | Alto | Evaluación de conformidad + supervisión humana |
| Scoring de riesgo crediticio | Alto | Evaluación de conformidad + registro UE |
Conclusión
El EU AI Act suena más intimidante de lo que es para la mayoría de pymes. Si tu empresa usa chatbots, asistentes virtuales o herramientas de generación de contenido, las obligaciones reales se reducen casi siempre a ser transparente con tus usuarios y formar mínimamente a tu equipo.
Donde sí hace falta prudencia real es en sistemas que afectan a decisiones importantes sobre personas: contratación, crédito, acceso a servicios. Ahí el cumplimiento es serio y merece asesoramiento específico antes de lanzar el sistema, no después.
Preguntas frecuentes
¿A qué empresas afecta el EU AI Act?
Afecta a cualquier empresa que desarrolle, distribuya o use sistemas de IA dentro de la Unión Europea, sin importar su tamaño ni si tiene sede en la UE. Una pyme española que usa un chatbot con IA generativa está dentro del alcance, aunque las obligaciones concretas dependen del nivel de riesgo de cada sistema.
¿Cuáles son las sanciones del EU AI Act?
Las más graves, por usar sistemas prohibidos, llegan hasta 35 millones de euros o el 7% de la facturación global anual. Incumplir obligaciones de alto riesgo puede suponer hasta 15 millones o el 3% de la facturación. Dar información falsa a las autoridades, hasta 7,5 millones o el 1%.
¿Mi chatbot de atención al cliente necesita cumplir el AI Act?
Sí, pero con obligaciones ligeras. Se clasifica como riesgo limitado y la obligación principal es de transparencia: el usuario debe poder saber que habla con una IA. No requiere autorización previa ni evaluación de conformidad.
¿Cuándo entran en vigor las obligaciones del EU AI Act?
Las prohibiciones entraron en vigor en febrero de 2025, las obligaciones para modelos de propósito general en agosto de 2025, la transparencia y el régimen sancionador en agosto de 2026, y las obligaciones completas de alto riesgo en agosto de 2027.
Escrito por Jesús Villamizar
AI Engineer con Máster en Machine Learning y Deep Learning. Más de 8 años implementando sistemas de IA en producción para empresas en España y Europa.
Ver perfil completo →