El EU AI Act no es solo para big tech
Cuando salen noticias del EU AI Act, suelen mencionar a Google, OpenAI o Meta. Pero el reglamento aplica a cualquier empresa que desarrolle, ponga en el mercado, distribuya o use sistemas de IA en la Unión Europea — incluidas las PYMEs.
La buena noticia: el reglamento reconoce explícitamente las limitaciones de las empresas pequeñas e incluye disposiciones específicas para facilitar su cumplimiento.
¿Eres proveedor o deployer?
La distinción más importante para las PYMEs es entender en qué posición de la cadena de valor estás:
Proveedor: desarrollas y pones en el mercado un sistema de IA (ya sea para venderlo o para uso en tu propia organización). Las obligaciones más pesadas recaen aquí. Deployer (usuario): compras o contratas un sistema de IA ya existente y lo usas para tu negocio. Obligaciones significativamente menores, pero no nulas.La mayoría de PYMEs son deployers de herramientas como CRMs con IA, herramientas de RRHH automatizadas, o chatbots — no proveedores. Esto simplifica mucho el panorama.
Obligaciones de las PYMEs como deployers
Si usas sistemas de IA de alto riesgo desarrollados por terceros:
✅ Lo que debes hacer
- Verificar que el proveedor tiene su documentación en regla: declaración de conformidad CE, documentación técnica disponible, registro en la base de datos EU si corresponde
- Designar un responsable técnico de supervisión (puede ser una persona con competencias básicas, no necesita ser un experto full-time)
- Supervisión humana: asegurarte de que las decisiones del sistema puedan ser revisadas y corregidas por personas
- Registro de operaciones: conservar logs del uso del sistema durante al menos 6 meses
- Informar al proveedor de incidentes o mal funcionamiento
- Informar a los afectados cuando el sistema tome decisiones que les conciernan (Art. 50)
❌ Lo que NO tienes que hacer como deployer
- Preparar documentación técnica del modelo (es del proveedor)
- Registrar el sistema en la base de datos EU (es del proveedor)
- Realizar evaluación de conformidad (es del proveedor)
Obligaciones de las PYMEs como proveedores
Si desarrollas tu propio sistema de IA (aunque sea un modelo fine-tuneado o integrado en tu producto), las obligaciones son más exigentes:
Si tu sistema es de bajo riesgo / riesgo mínimo
La gran mayoría de herramientas SaaS con IA caen aquí: chatbots de soporte, filtros de spam, recomendaciones de productos. Las obligaciones son mínimas:
- Transparencia básica si el sistema interactúa con humanos (Art. 50)
- Buenas prácticas voluntarias (Codes of Practice)
No hay documentación técnica obligatoria ni evaluación de conformidad para estos sistemas.
Si tu sistema es de alto riesgo (Anexo III)
Aquí sí que hay trabajo serio. Pero el EU AI Act incluye medidas para reducir la carga sobre las PYMEs:
- Tasas de acceso reducidas a organismos notificados para PYMEs (Art. 78)
- Entornos regulatorios controlados (sandboxes): las autoridades nacionales deben crear sandboxes gratuitos o subvencionados para que PYMEs prueben sus sistemas en un entorno supervisado antes de salir al mercado
- Plantillas y guías simplificadas: la Comisión y la Oficina de IA deben publicar documentación de orientación adaptada a PYMEs y startups
- Representante autorizado para PYMEs sin sede en UE: pueden designar una persona física en lugar de una entidad legal
El sandbox regulatorio: la herramienta clave para PYMEs innovadoras
El Artículo 57 obliga a los Estados miembros a crear y mantener sandboxes regulatorios de IA — entornos controlados donde empresas (especialmente PYMEs y startups) pueden:
- Probar sistemas innovadores de IA bajo supervisión de la autoridad competente
- Acceder a datos reales de forma regulada
- Recibir orientación directa de la autoridad antes de comercializar
- Beneficiarse de cierta protección frente a sanciones mientras están en el sandbox
España, Alemania, Francia y otros estados ya están desarrollando sus sandboxes. Si tu empresa está desarrollando algo innovador en categorías de alto riesgo, este es el camino más inteligente.
Los 5 riesgos más comunes de las PYMEs
- Usar herramientas de RRHH con IA de proveedores sin verificar su conformidad: el deployer tiene responsabilidad si no verifica que el proveedor cumple
- Chatbots que no avisan de ser IA: infracción directa del Art. 50, independientemente del tamaño de la empresa
- Decisiones automatizadas sin supervisión humana documentada: incluso para sistemas de bajo riesgo, es buena práctica
- Contratos de software con proveedores non-EU que no mencionan compliance con EU AI Act: el proveedor extranjero tiene las mismas obligaciones si opera en el mercado UE
- Ignorar el RGPD cuando los sistemas de IA procesan datos personales: el binomio EU AI Act + RGPD aplica conjuntamente
Lista de verificación rápida para PYMEs
- [ ] ¿Tengo un inventario de todos los sistemas de IA que uso o desarrollo?
- [ ] ¿Sé si soy proveedor o deployer de cada uno?
- [ ] ¿Los sistemas de alto riesgo tienen su declaración de conformidad CE del proveedor?
- [ ] ¿Tengo designado un responsable de supervisión para los sistemas de alto riesgo?
- [ ] ¿Mis chatbots y asistentes de IA informan al usuario que están hablando con IA?
- [ ] ¿Tengo registros de las operaciones del sistema durante los últimos 6 meses?
- [ ] ¿Mis contratos con proveedores de IA incluyen cláusulas de conformidad EU AI Act?
Conclusión
El EU AI Act no es un obstáculo insuperable para las PYMEs. Para la mayoría, que son deployers de herramientas de bajo riesgo, las obligaciones son manejables. Para las que desarrollan sistemas de alto riesgo, los sandboxes y las guías simplificadas de la Comisión son el camino.
Lo que hay que evitar a toda costa es la inacción — la ignorancia de la ley no exime de responsabilidad, y las autoridades nacionales empezarán a supervisar activamente a partir de 2026.