Primero, una precisión que los titulares de hoy no están haciendo bien: la ley NO se ha votado en el Congreso. Lo que ha pasado hoy es que el Consejo de Ministros ha aprobado el proyecto de ley y empieza la tramitación parlamentaria por vía de urgencia. Todavía puede tener enmiendas. Pero la estructura base ya está definida y, sobre todo, el Reglamento Europeo de IA (el AI Act) ya está vigente y se aplica por fases: las prohibiciones desde febrero de 2025, las obligaciones de los modelos de propósito general (GPAI) desde agosto de 2025, y la transparencia y el alto riesgo a partir de agosto de 2026 (con un retraso probable del alto riesgo que te explico más abajo).

¿Qué quiere decir esto para ti, que tienes una pyme en el Penedès, en Tarragona o donde sea? Que tengas o no la ley española publicada en el BOE, el AI Act europeo ya te obliga. La ley española solo adapta el AI Act a nuestro ordenamiento jurídico y define quién inspecciona y quién sanciona aquí: la AESIA (Agencia Española de Supervisión de la IA), con sede en A Coruña.

La AESIA ya opera desde febrero de 2025 y tiene plena autoridad sancionadora desde el 2 de agosto de 2025. La novedad de hoy es que el proyecto de ley española fija las sanciones concretas en el ordenamiento interno, define prácticas prohibidas adicionales (como los deepfakes sexuales) y establece cómo se coordinarán las distintas autoridades.

Por qué te afecta aunque "solo" uses ChatGPT

Esta es la confusión más habitual: "pero yo no construyo IA, solo la uso". El AI Act distingue dos roles: proveedor (quien desarrolla el sistema de IA y lo comercializa) y desplegador (quien lo usa dentro de su organización). El segundo eres tú si:

Si haces cualquiera de estas cosas, eres desplegador de IA a ojos de la ley. Y tienes obligaciones. Distintas según el riesgo, pero existen.

Las cuatro categorías de riesgo (y dónde caes tú)

El AI Act clasifica los sistemas de IA en cuatro niveles. Cada nivel tiene obligaciones distintas.

1. Riesgo inaceptable (prohibidos)

Sistemas que no se pueden utilizar nunca. Si tu pyme hace alguna de estas cosas, tienes que parar hoy:

2. Alto riesgo (obligaciones estrictas)

Sistemas permitidos pero con compliance fuerte. Incluye:

Si caes aquí (por ejemplo, una gestoría que usa un sistema de IA para pre-filtrar CVs de candidatos), tu carga de compliance es seria: evaluación de riesgos documentada, gobernanza de datos, documentación técnica, registro de actividades, supervisión humana real (no solo "el botón de aprobar"), transparencia hacia el usuario afectado y declaración de conformidad.

3. Riesgo limitado (transparencia)

Donde cae la mayoría de pymes que usan IA generativa:

La obligación principal aquí es transparencia: el usuario tiene que saber claramente que está interactuando con una IA o que un contenido ha sido generado por IA. No hay multas draconianas si cumples esto y, en general, los grandes proveedores de IA (OpenAI, Anthropic, Google) ya te lo ponen fácil con marcas visibles y metadatos.

4. Riesgo mínimo (sin obligaciones específicas)

Filtros de spam, recomendadores básicos, generadores de imágenes no destinados al público. Sin obligaciones específicas, pero la norma exige que tengas "alfabetización de IA" suficiente en el equipo: que la gente que usa estas herramientas entienda qué hacen y cuáles son sus límites.

Las sanciones: el rango que importa

Aquí es donde los titulares llaman la atención: hasta 35 millones de euros o el 7% de la facturación anual mundial, lo que sea mayor. Pero hay que entender el rango:

Para una pyme de 500K€ de facturación anual, una sanción leve sería de 2.500 € (el 0,5%). No es catastrófico, pero sumado al coste reputacional y al hecho de que la AESIA puede retirar el sistema de IA del mercado provisionalmente, es un riesgo innecesario.

Mi mensaje aquí es simple: las pymes no tienen que sufrir por multas millonarias del titular. Tienen que entender cuál es su categoría de riesgo, cumplir las obligaciones correspondientes (que en riesgo limitado son sencillas) y documentarlo mínimamente. La complicación real es para sistemas de alto riesgo, que pocas pymes despliegan.

El calendario real

Las fechas que importan:

Y aquí hay un matiz importante. La Comisión Europea propuso en noviembre de 2025 el Digital Omnibus (COM(2025)836), un paquete que plantea retrasar la aplicación de las obligaciones de alto riesgo: el Anexo III (empleo, scoring crediticio, servicios esenciales) pasaría del 2 de agosto de 2026 a finales de 2027 (la propuesta sitúa el Anexo III en el 2 de diciembre de 2027), y el Anexo I (IA dentro de productos regulados) hacia el 2 de agosto de 2028. Pero ojo: a junio de 2026 esto sigue siendo una propuesta en tramitación (procedimiento 2025/0359(COD)), no derecho vigente. Mientras no se publique el texto adoptado en el Diario Oficial de la UE, la fecha aplicable para el alto riesgo del Anexo III sigue siendo el 2 de agosto de 2026. Y el Omnibus no aplaza ni las prohibiciones (en vigor desde febrero de 2025) ni la fecha general de aplicación de la transparencia del art. 50.

¿Qué hago yo con esto? Planifico de forma conservadora hacia agosto de 2026, porque el retraso todavía no es seguro, sabiendo que probablemente tendré más margen del que dice el calendario por defecto. Verifica la fecha definitiva antes de tomar una decisión grande.

Qué tienes que hacer esta semana (los 5 pasos pragmáticos)

Si tienes una pyme y usas IA de alguna manera, haz esto este año (las prohibiciones y la formación ya están en vigor desde febrero de 2025, y la transparencia llega en agosto de 2026):

1. Inventario real de IA en uso.

Haz una lista de todos los sistemas de IA que utiliza tu equipo. Incluye ChatGPT (y con qué nivel: Free, Plus, Business), Claude, Gemini, Copilot, herramientas de scoring de leads, generadores de imágenes, recomendadores en la web, agentes en WhatsApp, etc. Todo el mundo tiende a olvidar el 30% real.

2. Clasifica cada sistema en una categoría de riesgo.

Para cada uno, identifica si está prohibido, es de alto riesgo, de riesgo limitado o de riesgo mínimo. La herramienta de diagnóstico gratuita que he creado te hace esta clasificación en cinco minutos.

3. Documenta el propósito y los datos de cada sistema.

Para cada IA, anota: para qué la usas (caso de uso concreto), qué datos le das (especialmente si son personales), quién supervisa sus salidas, y cómo informas a los usuarios afectados. No hace falta un PDF de 50 páginas; un documento de 2 páginas por sistema es suficiente para la mayoría de pymes.

4. Pon marcadores de transparencia donde haga falta.

Si tienes un chatbot, tiene que decir claramente que es una IA en el primer mensaje. Si publicas imágenes generadas por IA en tu web o redes, márcalas. Si usas scoring automático para clientes (por ejemplo, para decidir quién recibe una propuesta antes), informa de que hay un componente automatizado y ofrece revisión humana a petición.

5. Forma al equipo (alfabetización de IA).

El AI Act exige que las personas que usan IA entiendan qué hacen estos sistemas. Para una pyme, eso quiere decir una sesión formativa de una o dos horas explicando cómo funciona la IA generativa, qué puede hacer bien y qué no, qué sesgos puede tener y cómo revisar sus salidas. No hace falta un máster; hay que entender los fundamentos.

Si caes en alto riesgo: la conversación es más seria

Si tu pyme tiene sistemas de alto riesgo (selección de personal, scoring crediticio, sanidad, infraestructuras), no lo hagas por tu cuenta. Necesitas un compliance officer o un consultor externo que te ayude a montar el sistema de gestión de riesgos, la documentación técnica y el proceso de declaración de conformidad. El coste de este compliance es real (entre 5K y 20K en consultoría para una pyme típica), pero es una fracción de lo que puedes pagar en sanciones o en tener que retirar el sistema.

Por qué soy relativamente optimista (pero alerta)

El AI Act es la primera regulación seria de IA en el mundo y, en general, está bien diseñada. La distinción por niveles de riesgo es sensata: no pone la misma carga a alguien que usa ChatGPT para escribir correos que a alguien que decide quién recibe un crédito hipotecario. Para la mayoría de pymes catalanas que usan IA generativa "normal", el compliance real es gestionable: transparencia, supervisión humana, documentación mínima.

Pero hay tres alertas que conviene recordar:

Recursos oficiales

Herramienta práctica: clasifica tu IA en 5 minutos

He construido una herramienta de diagnóstico gratuita. Respondes seis preguntas sobre cómo usa IA tu empresa y te da: la categoría de riesgo en la que caes, una lista concreta de obligaciones específicas para tu caso, y una checklist de pasos prácticos para ponerte al día.

Sin registro, sin email, nada que enviemos a terceros. Todo el procesamiento pasa en tu navegador. La usas, te vas con el resultado.

Llévate la guía práctica (gratis, sin registro)

He reunido todo esto en una guía práctica en PDF para preparar tu pyme ante el AI Act, el DSA y el RGPD, con una checklist de autoevaluación de una página. Descárgalas directamente, sin dejar el email:

Información general y orientativa, no asesoramiento jurídico individual ni certificación de cumplimiento. No hay afiliación ni aval de la AESIA, la AEPD ni la UE. Edición cerrada en junio de 2026: verifica las fechas y el estado de tramitación antes de tomar decisiones con impacto legal.

Si caes en alto riesgo o quieres ayuda para documentar tu compliance

No quiero ser tu compliance officer permanente; eso lo hacen mejor los despachos jurídicos especializados. Pero sí puedo ayudarte a montar el inventario inicial, clasificar tus sistemas, poner los marcadores de transparencia donde haga falta y hacer la formación de alfabetización de IA para tu equipo. Tres o cuatro sesiones y tienes la base hecha.

Hablemos 15 minutos