EU AI Act: la checklist de urgencia para pymes antes del 2 de agosto de 2026
El 2 de agosto de 2026. Queda poco más de un mes.
Ese día entran en vigor la mayoría de las obligaciones del EU AI Act. Y si tu empresa usa cualquier tipo de inteligencia artificial — ChatGPT, Microsoft Copilot, un chatbot en la web, un asistente de WhatsApp — tienes cosas que hacer. No son opcionales.
He preparado esta checklist porque sé que el texto legal completo son 458 páginas y nadie con una empresa que gestionar va a leérselo. Esto es lo mínimo que necesitas saber y hacer. En lenguaje claro, sin humo regulatorio, con plazos reales.
Lo que tienes que tener ANTES del 2 de agosto de 2026
1. Inventario de sistemas IA
Qué es: una lista completa de todas las herramientas de inteligencia artificial que usáis en la empresa.
Qué incluye: ChatGPT, Copilot, Gemini, Claude, chatbots en la web, asistentes de WhatsApp, herramientas de análisis con IA, generadores de imágenes, sistemas de recomendación, filtros de currículums con IA, software de contabilidad con módulos de IA. Todo.
Cómo hacerlo: siéntate una hora con tu equipo y abre un documento. Pregunta a cada persona qué herramientas de IA usa en su día a día. Te sorprendería saber cuántas usan sin que tú lo sepas.
Resultado: un documento vivo con nombre de la herramienta, qué hace en tu empresa, quién la usa y para qué proceso.
2. Clasificación por nivel de riesgo
Qué es: cada sistema IA debe tener una categoría de riesgo según el EU AI Act. No todas las herramientas tienen el mismo nivel de obligaciones.
Las cuatro categorías:
- Riesgo mínimo: la mayoría de lo que usas — ChatGPT para redactar correos, Copilot para ayudarte con código, un chatbot básico de FAQs. Obligaciones: transparencia y alfabetización. Sin cargas pesadas.
- Riesgo limitado: chatbots que interactúan directamente con clientes, sistemas que generan contenido público. Obligaciones: transparencia reforzada + aviso claro de que es IA.
- Alto riesgo: IA en selección de personal, scoring crediticio, sistemas de seguridad, dispositivos médicos, infraestructura crítica. Esto sí requiere documentación completa, supervisión humana, evaluación de conformidad.
- Riesgo prohibido: reconocimiento facial en tiempo real en espacios públicos, scoring social gubernamental, manipulación subliminal. Directamente prohibido — si tienes algo así, elimínalo ya.
Cómo hacerlo: coge tu inventario del punto 1 y asigna una categoría a cada herramienta. La mayoría de las pymes solo tendrán riesgo mínimo y limitado. Si detectas algo en alto riesgo, necesita atención prioritaria.
3. Transparencia con clientes y usuarios
Qué es: obligación de informar cuando alguien interactúa con una IA o consume contenido generado por IA.
Casos concretos:
- Si tienes un chatbot en la web, debe quedar claro que es una IA, no una persona.
- Si generas imágenes con IA para tus redes o tu web, debes indicarlo.
- Si usas IA para generar textos públicos (posts, descripciones de producto, emails masivos), aplica lo mismo.
- Si un cliente llama y le atiende un colaborador digital de voz, debe saber que está hablando con una IA.
Cómo hacerlo: añade un aviso visible en tu chatbot, un disclaimer en contenidos generados y una línea en tus políticas de privacidad. No necesitas un departamento legal para esto — con ser claro y honesto ya cubres la parte esencial.
4. Alfabetización del personal
Qué es: tu equipo debe tener un nivel mínimo de comprensión sobre la IA que usa en su trabajo. Esta obligación ya está en vigor desde febrero de 2025.
Qué implica en la práctica:
- Que sepan qué herramientas de IA usan y para qué sirven.
- Que entiendan los límites: la IA alucina, puede tener sesgos, no es fuente de verdad absoluta.
- Que sepan cuándo escalar a un humano y cuándo no fiarse de la respuesta de la IA.
- Que conozcan las políticas internas sobre protección de datos al usar herramientas de IA.
Cómo hacerlo: una sesión interna de 60-90 minutos con tu equipo cubre esto. No necesitas contratar a un experto externo — necesitas que alguien con criterio explique lo básico y deje claros los límites. Documenta que la formación ocurrió (fecha, asistentes, contenido).
5. Documentación mínima
Qué es: un "pack mínimo de evidencias" que demuestre que has hecho los deberes.
Contenido del pack:
- Inventario de sistemas IA (el documento del punto 1).
- Clasificación de riesgo de cada sistema (el del punto 2).
- Registro de la formación en alfabetización IA (punto 4).
- Descripción breve de cómo supervisáis los sistemas IA: quién revisa qué y con qué frecuencia.
- Avisos de transparencia que habéis implementado (pantallazo del chatbot, disclaimer en la web, etc.).
Cómo hacerlo: un Google Doc o Notion con estas cinco secciones. No necesitas un sistema de gestión documental — necesitas tenerlo por escrito y accesible. Si mañana te inspeccionan, lo enseñas y ya está.
Calendario de plazos (no te pierdas)
- 2 agosto 2026: obligaciones generales + transparencia. La mayoría de lo que tienes que hacer está aquí.
- 2 diciembre 2026: watermarking de contenido generado por IA + prohibición total de deepfakes no consentidos.
- Diciembre 2027: obligaciones completas para sistemas de alto riesgo (Anexo III).
España ya tiene operativa la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) con potestad sancionadora. El sandbox regulatorio está activo desde 2025. Esto no es papel mojado — hay dientes, hay supervisión y hay multas.
¿Qué pasa si no cumples?
Las sanciones del EU AI Act van en serio:
- Hasta 35 millones de euros o el 7% de la facturación global anual — lo que sea mayor — para infracciones de sistemas prohibidos.
- Hasta 15 millones de euros o el 3% de la facturación para incumplimiento de obligaciones de alto riesgo.
- Hasta 7,5 millones de euros o el 1,5% de la facturación por suministrar información inexacta o no cooperar con las autoridades.
Pero más allá de las multas, hay un riesgo que duele más: perder clientes grandes que exigen cumplimiento a sus proveedores, quedar fuera de licitaciones públicas, y el daño reputacional de una inspección negativa.
Lo que yo haría esta semana
Tres acciones concretas, por orden de prioridad:
- Lunes-martes: inventario. Una hora. Nada más. Lista todas las herramientas de IA que usáis y quién las usa.
- Miércoles-jueves: clasifica y documenta. Asigna nivel de riesgo a cada una. Crea el documento con las 5 secciones del pack mínimo.
- Viernes: sesión de alfabetización. Reúne al equipo 60-90 minutos, explica lo básico, registra que ocurrió.
En una semana tienes el 80% del cumplimiento resuelto. El 20% restante depende de si tienes sistemas de alto riesgo — y si es el caso, necesitas apoyo especializado.
Mi punto de vista
He leído el EU AI Act completo. No es un ataque a la innovación — es un intento de poner orden en un tren que va a 300 km/h. Lo que pasa es que el lenguaje regulatorio europeo es denso, pesado y desconectado de la realidad de una empresa con 15 empleados.
El riesgo real no es la multa. El riesgo real es la parálisis: ver que hay regulación, no entenderla, asustarse y no hacer nada. O peor: dejar de usar IA por miedo.
Eso sería un error. La IA no va a desaparecer por el EU AI Act. Va a operar con reglas — y el que antes las entienda y las cumpla, antes puede aprovechar la ventaja de tener sistemas que funcionan mientras los demás están todavía decidiendo si abrir el documento legal.
En IA & Negocios ayudamos a empresas a tener su casa digital en orden — que es el 80% del cumplimiento. Sistemas documentados, procesos claros, IA supervisada. Si quieres hacer esto con acompañamiento en lugar de solo, empieza por aquí.
Preguntas frecuentes
¿De verdad tengo que preocuparme si solo uso ChatGPT para redactar correos?
Sí. Pero con una carga proporcional. ChatGPT es riesgo mínimo — necesitas tenerlo en tu inventario, saber quién lo usa, y asegurarte de que tu equipo entiende sus límites. No necesitas una auditoría externa ni un despacho de abogados por usar ChatGPT.
¿Esto aplica a autónomos?
Sí. El EU AI Act aplica a cualquier proveedor o implementador de IA en el mercado europeo, independientemente del tamaño. Un autónomo que usa ChatGPT para su trabajo diario está dentro del ámbito de aplicación. La diferencia es que sus obligaciones son mínimas porque el riesgo es mínimo.
¿Qué pasa con las herramientas que ya tenía antes de agosto 2026?
También aplica. No hay "derecho adquirido" para sistemas anteriores. Todos los sistemas IA en uso a partir del 2 de agosto de 2026 deben cumplir. La única excepción son ciertos sistemas de alto riesgo con plazos más largos (diciembre 2027).
¿Necesito contratar a un abogado especializado?
Si solo tienes sistemas de riesgo mínimo y limitado, no. Esta checklist cubre la mayoría de lo que necesitas. Si tienes sistemas de alto riesgo — IA en selección de personal, scoring financiero, reconocimiento biométrico — ahí sí necesitas apoyo legal especializado.
¿IA & Negocios puede ayudarme a preparar el cumplimiento?
Te ayudamos a ordenar tu operación digital: inventario, clasificación, documentación de procesos y supervisión de sistemas IA. Eso cubre el 80% del cumplimiento para una pyme. Si tu caso requiere asesoría legal específica, trabajamos con despachos especializados y te derivamos.
¿Quieres hacer la checklist acompañado? Solicita tu diagnóstico sin compromiso →
¿Quieres llevar estas ideas a la práctica?
Podemos ayudarte a diseñar la estructura que tu negocio necesita.
Ideas relacionadas
Tendencias de IA en empresas 2026–2029
En 2026, «usar IA» ya no impresiona a nadie. La diferencia real: operar la empresa con IA adentro, con responsabilidades, límites y métricas.
Por qué tu negocio necesita un sistema operativo digital — Centro de Mando Inteligente
La mayoría de los negocios operan sobre 40 herramientas desconectadas, perdiendo tiempo, datos y dinero. Un sistema operativo digital cambia eso — y no es lo que te imaginas.
5 señales de que tu negocio necesita estructura digital (y cuánto te está costando no tenerla)
Hay negocios que facturan bien pero operan mal. Crecen en ventas pero no en rentabilidad. Si te identificas con alguna de estas 5 señales, el problema no eres tú — es la falta de estructura.