IAuditAI
Volver al blog

Obligaciones de las PYMEs bajo la Ley de IA

Las PYMEs que utilizan inteligencia artificial tienen obligaciones concretas bajo el Reglamento europeo. Aquí las explicamos de forma práctica.

Las PYMEs no están exentas

Uno de los malentendidos más comunes sobre la Ley de IA (Reglamento (UE) 2024/1689) es pensar que solo afecta a las grandes empresas tecnológicas. La realidad es que cualquier organización que utilice sistemas de IA en la UE tiene obligaciones regulatorias, incluidas las PYMEs.

Es cierto que el Reglamento incluye disposiciones para reducir la carga administrativa sobre las pequeñas y medianas empresas, pero no las exime de cumplir.

¿Qué rol tiene tu PYME?

Lo primero es identificar tu rol dentro de la cadena de valor de la IA:

  • Implementador (deployer): tu empresa utiliza sistemas de IA desarrollados por terceros. Este es el caso más habitual para las PYMEs — usan ChatGPT, Copilot, herramientas de analítica con IA, chatbots, etc.
  • Proveedor: tu empresa desarrolla sistemas de IA y los pone en el mercado. Menos habitual, pero posible si desarrollas software con componentes de IA.

La mayoría de las PYMEs son implementadores, y las obligaciones para este rol son más manejables que las del proveedor.

Obligaciones para todas las PYMEs (independientemente del riesgo)

1. Alfabetización en IA (Art. 4) — Ya en vigor

Desde febrero de 2025, toda organización que opere o supervise sistemas de IA debe garantizar que su personal tenga un nivel suficiente de alfabetización en IA. Esto implica:

  • Evaluar qué empleados interactúan con herramientas de IA
  • Proporcionarles formación adecuada a su función
  • Documentar las acciones formativas realizadas

No se exige un título o certificación específica, sino demostrar un esfuerzo razonable y proporcional.

2. Prácticas prohibidas (Art. 5)

Debes verificar que ninguno de los sistemas de IA que utilizas realiza prácticas prohibidas, como:

  • Manipulación subliminal o engañosa
  • Explotación de vulnerabilidades de grupos específicos
  • Puntuación social (social scoring)
  • Categorización biométrica basada en datos sensibles

3. Transparencia

Si utilizas sistemas de IA que interactúan directamente con personas (chatbots, asistentes virtuales), debes informar a los usuarios de que están interactuando con una IA.

Obligaciones adicionales si usas IA de alto riesgo

Si alguno de tus sistemas de IA se clasifica como de alto riesgo (Anexo III del Reglamento), las obligaciones se intensifican:

  • Supervisión humana: designar personas responsables de supervisar el funcionamiento del sistema
  • Datos de entrada: garantizar que los datos que alimentan al sistema sean pertinentes y representativos
  • Registro de actividad: conservar los logs generados automáticamente por el sistema
  • Evaluación de impacto: realizar evaluaciones de impacto en derechos fundamentales cuando sea aplicable
  • Informar a la autoridad: comunicar a la autoridad competente si un sistema de alto riesgo causa un incidente grave

Medidas de apoyo para PYMEs

El Reglamento reconoce la situación particular de las PYMEs y establece:

  • Entornos de pruebas regulatorios (regulatory sandboxes) con acceso prioritario para PYMEs
  • Tasas reducidas en los procedimientos de evaluación de conformidad
  • Guías y códigos de buenas prácticas que simplifican el cumplimiento
  • Proporcionalidad en las sanciones: las multas se ajustan a la capacidad económica de la empresa

Plan de acción práctico para tu PYME

  1. Haz un inventario de todas las herramientas de IA que utilizáis (incluidas las gratuitas)
  2. Clasifica cada herramienta según el nivel de riesgo del Reglamento
  3. Forma a tu equipo: cumple con la obligación de alfabetización del Art. 4
  4. Documenta todo: qué IA usáis, para qué, quién la supervisa y qué formación habéis dado
  5. Revisa periódicamente: el panorama de la IA cambia rápido; actualiza tu inventario al menos cada trimestre

Lo que no debes hacer

  • No ignores la ley pensando que no te afecta por ser PYME
  • No esperes a agosto de 2026: muchas obligaciones ya están en vigor
  • No delegues sin supervisar: aunque uses IA de terceros, tú eres responsable de cómo la implementas

La preparación temprana es la mejor estrategia. Las PYMEs que se adelanten no solo evitarán sanciones, sino que ganarán en confianza frente a clientes, socios y reguladores.