La nueva Ley IA de España: qué cambia para tu PYME.

Primero, una precisión que los titulares de hoy no están haciendo bien: la ley NO se ha votado en el Congreso. Lo que ha pasado hoy es que el Consejo de Ministros ha aprobado el proyecto de ley y empieza la tramitación parlamentaria por vía de urgencia. Todavía puede tener enmiendas. Pero la estructura base ya está definida y, sobre todo, el Reglamento Europeo de IA (el AI Act) ya está vigente y a partir del 2 de agosto de 2026 entrará en plena aplicación con régimen sancionador incluido.

¿Qué quiere decir esto para ti, que tienes una pyme en el Penedès, en Tarragona o donde sea? Que tengas o no la ley española publicada en el BOE, el AI Act europeo ya te obliga. La ley española solo adapta el AI Act a nuestro ordenamiento jurídico y define quién inspecciona y quién sanciona aquí: la AESIA (Agencia Española de Supervisión de la IA), con sede en A Coruña.

La AESIA ya opera desde febrero de 2025 y tiene plena autoridad sancionadora desde el 2 de agosto de 2025. La novedad de hoy es que el proyecto de ley española fija las sanciones concretas en el ordenamiento interno, define prácticas prohibidas adicionales (como los deepfakes sexuales) y establece cómo se coordinarán las distintas autoridades.

Por qué te afecta aunque "solo" uses ChatGPT

Esta es la confusión más habitual: "pero yo no construyo IA, solo la uso". El AI Act distingue dos roles: proveedor (quien desarrolla el sistema de IA y lo comercializa) y desplegador (quien lo usa dentro de su organización). El segundo eres tú si:

• Usas ChatGPT, Claude, Gemini o cualquier asistente para generar texto que llegará a clientes.
• Tienes un agente IA en WhatsApp o en la web que responde consultas.
• Usas herramientas con IA para scoring de leads, clasificación de currículums o evaluación de proveedores.
• Usas generación de imágenes o vídeo con IA para campañas.
• Tienes algún sistema de recomendación o personalización que aprende de los usuarios.

Si haces cualquiera de estas cosas, eres desplegador de IA a ojos de la ley. Y tienes obligaciones. Distintas según el riesgo, pero existen.

Las cuatro categorías de riesgo (y dónde caes tú)

El AI Act clasifica los sistemas de IA en cuatro niveles. Cada nivel tiene obligaciones distintas.

1. Riesgo inaceptable (prohibidos)

Sistemas que no se pueden utilizar nunca. Si tu pyme hace alguna de estas cosas, tienes que parar hoy:

• Técnicas subliminales o manipulación psicológica para influir en decisiones sin consentimiento.
• Explotación de vulnerabilidades por edad, situación socioeconómica o discapacidad.
• Puntuación social de personas (estilo social credit).
• Clasificación biométrica por raza, orientación política o religiosa.
• Identificación biométrica remota en tiempo real en espacios públicos (con excepciones estrictas).
• Nuevo en España: generación de deepfakes sexuales no consentidos y chatbots que identifiquen a usuarios con adicción al juego para atraerlos a plataformas.

2. Alto riesgo (obligaciones estrictas)

Sistemas permitidos pero con compliance fuerte. Incluye:

• Selección de personal y evaluación laboral (filtros de CV con IA).
• Concesión de crédito y scoring crediticio.
• Educación reglada (calificaciones automáticas, admisiones).
• Sanidad (apoyo diagnóstico).
• Infraestructuras críticas (redes eléctricas, agua, transporte).
• Acceso a servicios esenciales (públicos o privados).

Si caes aquí (por ejemplo, una gestoría que usa un sistema de IA para pre-filtrar CVs de candidatos), tu carga de compliance es seria: evaluación de riesgos documentada, gobernanza de datos, documentación técnica, registro de actividades, supervisión humana real (no solo "el botón de aprobar"), transparencia hacia el usuario afectado y declaración de conformidad.

3. Riesgo limitado (transparencia)

Donde cae la mayoría de pymes que usan IA generativa:

• Chatbots y agentes conversacionales.
• Generación de contenido con IA (texto, imagen, vídeo) destinado al público.
• Sistemas de reconocimiento de emociones (en contextos no prohibidos).
• Deepfakes legítimos (no los sexuales, que están prohibidos).

La obligación principal aquí es transparencia: el usuario tiene que saber claramente que está interactuando con una IA o que un contenido ha sido generado por IA. No hay multas draconianas si cumples esto y, en general, los grandes proveedores de IA (OpenAI, Anthropic, Google) ya te lo ponen fácil con marcas visibles y metadatos.

4. Riesgo mínimo (sin obligaciones específicas)

Filtros de spam, recomendadores básicos, generadores de imágenes no destinados al público. Sin obligaciones específicas, pero la norma exige que tengas "alfabetización de IA" suficiente en el equipo: que la gente que usa estas herramientas entienda qué hacen y cuáles son sus límites.

Las sanciones: el rango que importa

Aquí es donde los titulares llaman la atención: hasta 35 millones de euros o el 7% de la facturación anual mundial, lo que sea mayor. Pero hay que entender el rango:

• Leves: hasta 500.000 € o el 0,5% de la facturación.
• Graves: hasta 7,5 millones o el 1,5% de la facturación (incumplimiento de obligaciones para sistemas de alto riesgo).
• Muy graves: hasta 35 millones o el 7% de la facturación (usar sistemas prohibidos).

Para una pyme de 500K€ de facturación anual, una sanción leve sería de 2.500 € (el 0,5%). No es catastrófico, pero sumado al coste reputacional y al hecho de que la AESIA puede retirar el sistema de IA del mercado provisionalmente, es un riesgo innecesario.

Mi mensaje aquí es simple: las pymes no tienen que sufrir por multas millonarias del titular. Tienen que entender cuál es su categoría de riesgo, cumplir las obligaciones correspondientes (que en riesgo limitado son sencillas) y documentarlo mínimamente. La complicación real es para sistemas de alto riesgo, que pocas pymes despliegan.

El calendario real

Las fechas que importan:

• 2 de febrero de 2025: Prohibiciones ya en vigor. Si usas un sistema prohibido, ya estás en infracción.
• 2 de agosto de 2025: La AESIA asume plena autoridad sancionadora en España.
• 2 de agosto de 2026: Aplicación plena del AI Act, incluyendo obligaciones para sistemas de alto riesgo y régimen sancionador europeo completo.
• 2 de agosto de 2027: Obligaciones plenas para todos los sistemas de IA "de propósito general" (GPAI), es decir, modelos foundation como GPT-4, Claude, etc.

Qué tienes que hacer esta semana (los 5 pasos pragmáticos)

Si tienes una pyme y usas IA de alguna manera, haz esto antes del 2 de agosto:

1. Inventario real de IA en uso.

Haz una lista de todos los sistemas de IA que utiliza tu equipo. Incluye ChatGPT (y con qué nivel — Free, Plus, Business?), Claude, Gemini, Copilot, herramientas de scoring de leads, generadores de imágenes, recomendadores en la web, agentes en WhatsApp, etc. Todo el mundo tiende a olvidar el 30% real.

2. Clasifica cada sistema en una categoría de riesgo.

Para cada uno, identifica si está prohibido, es de alto riesgo, de riesgo limitado o de riesgo mínimo. La herramienta de diagnóstico gratuita que he creado te hace esta clasificación en cinco minutos.

3. Documenta el propósito y los datos de cada sistema.

Para cada IA, anota: para qué la usas (caso de uso concreto), qué datos le das (especialmente si son personales), quién supervisa sus salidas, y cómo informas a los usuarios afectados. No hace falta un PDF de 50 páginas; un documento de 2 páginas por sistema es suficiente para la mayoría de pymes.

4. Pon marcadores de transparencia donde haga falta.

Si tienes un chatbot, tiene que decir claramente que es una IA en el primer mensaje. Si publicas imágenes generadas por IA en tu web o redes, márcalas. Si usas scoring automático para clientes (por ejemplo, para decidir quién recibe una propuesta antes), informa de que hay un componente automatizado y ofrece revisión humana a petición.

5. Forma al equipo (alfabetización de IA).

El AI Act exige que las personas que usan IA entiendan qué hacen estos sistemas. Para una pyme, eso quiere decir una sesión formativa de una o dos horas explicando cómo funciona la IA generativa, qué puede hacer bien y qué no, qué sesgos puede tener y cómo revisar sus salidas. No hace falta un máster — hay que entender los fundamentos.

Si caes en alto riesgo: la conversación es más seria

Si tu pyme tiene sistemas de alto riesgo (selección de personal, scoring crediticio, sanidad, infraestructuras), no lo hagas por tu cuenta. Necesitas un compliance officer o un consultor externo que te ayude a montar el sistema de gestión de riesgos, la documentación técnica y el proceso de declaración de conformidad. El coste de este compliance es real (entre 5K y 20K en consultoría para una pyme típica), pero es una fracción de lo que puedes pagar en sanciones o en tener que retirar el sistema.

Por qué soy relativamente optimista (pero alerta)

El AI Act es la primera regulación seria de IA en el mundo y, en general, está bien diseñada. La distinción por niveles de riesgo es sensata: no pone la misma carga a alguien que usa ChatGPT para escribir correos que a alguien que decide quién recibe un crédito hipotecario. Para la mayoría de pymes catalanas que usan IA generativa "normal", el compliance real es gestionable: transparencia, supervisión humana, documentación mínima.

Pero hay tres alertas que conviene recordar:

• La AESIA puede inspeccionar y sancionar sin necesidad de haberte avisado antes. No hay periodo de gracia formal para sistemas prohibidos o para transparencia básica.
• Las denuncias pueden venir de competidores, clientes descontentos o ex empleados. No hace falta que sea inspección proactiva de la AESIA.
• El coste real no es la sanción — es tener que retirar un sistema de IA que ya tienes integrado en el negocio.

Recursos oficiales

• AESIA — Agencia Española de Supervisión de la IA
• Texto completo del AI Act (en inglés, con explicaciones)
• Reglamento UE 2024/1689 en el BOE europeo (en castellano)
• España Digital 2026 — información del Gobierno español

Herramienta práctica: clasifica tu IA en 5 minutos

He construido una herramienta de diagnóstico gratuita. Respondes seis preguntas sobre cómo usa IA tu empresa y te da: la categoría de riesgo en la que caes, una lista concreta de obligaciones específicas para tu caso, y una checklist de pasos a hacer antes del 2 de agosto.

Sin registro, sin email, nada que enviemos a terceros. Todo el procesamiento pasa en tu navegador. La usas, te vas con el resultado.