El Reglamento de Inteligencia Artificial de la Unión Europea (Reglamento UE 2024/1689, conocido como AI Act) lleva más de un año desplegando sus efectos de forma escalonada. Las prohibiciones más severas —como los sistemas de puntuación social o la manipulación subliminal— ya son ilegales desde agosto de 2024. Las normas para modelos de propósito general (GPT, Claude, Gemini y similares) entraron en vigor en agosto de 2025.
Ahora llega el capítulo que más puede afectar a las empresas que ya usan IA en sus operaciones: el 2 de agosto de 2026 es la fecha límite para que los sistemas de IA de alto riesgo nuevos cumplan con todos los requisitos del Reglamento. Si tu empresa ha implantado —o está a punto de implantar— algún sistema de IA para tomar decisiones relevantes sobre personas, este artículo es para ti.
¿Qué es exactamente un sistema de IA de "alto riesgo"?
El Reglamento clasifica los sistemas de IA según el nivel de riesgo que representan para los derechos fundamentales y la seguridad. La categoría de alto riesgo incluye sistemas que toman decisiones o asisten en decisiones que afectan significativamente a las personas. El Anexo III del Reglamento lista los sectores concretos:
- Empleo y RRHH: herramientas de cribado de CVs, sistemas de evaluación del rendimiento, herramientas que influyen en promociones o despidos.
- Acceso a servicios esenciales: sistemas para evaluar la solvencia crediticia, fijar precios de seguros de salud o vida, o priorizar servicios de emergencia.
- Educación y formación: herramientas de evaluación del aprendizaje o que determinan el acceso a programas educativos.
- Infraestructuras críticas: IA que gestiona el suministro eléctrico, el agua o el tráfico.
- Justicia y procesos democráticos: asistencia a jueces, sistemas de investigación policial o análisis de delincuencia predictiva.
La buena noticia para la mayoría de pymes: usar ChatGPT para redactar emails, un chatbot de atención al cliente, automatizaciones de marketing o herramientas de análisis de datos interno no entra en la categoría de alto riesgo. El Reglamento no prohíbe estos usos ni les impone obligaciones pesadas.
¿Y si sí usas IA en RRHH o en decisiones sobre clientes?
Aquí es donde muchas pymes necesitan revisar su situación. Cada vez más empresas usan IA para filtrar candidatos en procesos de selección, predecir qué clientes van a abandonar el servicio (churn), o ajustar precios de forma automática. Algunas de estas aplicaciones pueden caer en la categoría de alto riesgo.
Si tu empresa opera en uno de los sectores listados o usa IA para decisiones que afectan a derechos de personas (trabajadores, clientes), debes cumplir una serie de obligaciones antes del 2 de agosto:
1. Documentación técnica completa
El sistema debe estar documentado: qué datos usa, cómo funciona el modelo, qué limitaciones tiene, cómo se evalúa su precisión. Si compras el sistema a un proveedor externo, parte de esta documentación la debe proporcionar el proveedor —pero tú, como "deployer" (empresa que lo pone en marcha), también tienes responsabilidades propias.
2. Evaluación de conformidad
Para la mayoría de casos de alto riesgo, las pymes pueden hacer una autoevaluación —no es necesario pasar por un organismo externo certificado, salvo en ámbitos muy sensibles como la biometría o la seguridad crítica. La evaluación debe quedar registrada y actualizada.
3. Supervisión humana
Todo sistema de alto riesgo debe estar diseñado para que una persona pueda supervisar, corregir o desactivar sus decisiones. No se puede delegar completamente en la IA sin posibilidad de intervención humana. Esto tiene implicaciones prácticas: si usas IA para preseleccionar candidatos, debe haber un responsable de RRHH que revise los resultados antes de tomar decisiones definitivas.
4. Registro de actividad (logging)
El sistema debe guardar registros de sus operaciones para poder hacer auditorías. En la práctica, esto suele significar activar los logs en la plataforma que uses y conservarlos durante el tiempo que exija la normativa aplicable.
5. Transparencia con los afectados
Las personas que sean objeto de decisiones tomadas o asistidas por IA de alto riesgo tienen derecho a saberlo. Si un candidato no pasa un proceso de selección asistido por IA, debe poder solicitar una explicación.
Tres pasos concretos que puedes dar esta semana
No es necesario contratar un equipo jurídico ni paralizarse ante la complejidad del Reglamento. Para una pyme, el proceso de adaptación puede estructurarse en tres pasos sencillos:
Paso 1: Inventaría todos los sistemas de IA que usas
Haz una lista de cada herramienta con IA que usa tu empresa: plataformas de marketing, CRMs con funciones predictivas, software de RRHH, chatbots, herramientas de análisis. Para cada una, anota su función y si afecta a decisiones sobre personas. Este inventario es el punto de partida obligatorio.
Paso 2: Clasifica cada uso según el nivel de riesgo
Con el inventario en mano, revisa si alguno de tus sistemas encaja en el Anexo III del Reglamento. La mayoría de usos cotidianos (redacción de contenidos, resúmenes de documentos, automatización de tareas administrativas) son de riesgo mínimo o limitado y no requieren acciones especiales más allá de informar a los usuarios cuando interactúan con IA.
Paso 3: Si detectas uso de alto riesgo, actúa
Para esos sistemas concretos, contacta con el proveedor para obtener su documentación técnica, revisa que tienes habilitada la supervisión humana en el flujo de decisión y asegúrate de que los registros de actividad están activados. Si tienes dudas, consulta con un asesor especializado —la inversión es mínima comparada con las sanciones, que pueden llegar al 3% de la facturación global anual.
Regla práctica: Si la IA solo te ayuda a trabajar más rápido (redactar, resumir, organizar), el Reglamento apenas te afecta. Si la IA toma o influye en decisiones sobre empleados, candidatos o acceso de clientes a servicios, necesitas revisar tu situación antes del 2 de agosto.
El Reglamento como ventaja competitiva, no como carga
Muchas empresas ven el AI Act como un obstáculo burocrático. Sin embargo, las pymes que se adapten bien tienen una oportunidad real: generar confianza con clientes, empleados y socios. En un mercado donde la desconfianza hacia la IA sigue siendo alta, poder decir que tus procesos cumplen con la normativa europea es un argumento comercial poderoso.
Además, la documentación y los procesos de supervisión que exige el Reglamento son, en muchos casos, simplemente buenas prácticas que cualquier empresa debería tener aunque no existiera la normativa. Saber qué hace cada sistema de IA que usas, quién es responsable de sus resultados y cómo corriges errores no es solo cumplimiento legal: es gestión inteligente del negocio.
El calendario completo del AI Act para 2026 y 2027
Para tener una visión completa del escalonamiento normativo, estas son las fechas clave pendientes:
- 2 de agosto de 2026: Obligaciones completas para sistemas de IA de alto riesgo del Anexo III (nuevos sistemas). Los sistemas ya desplegados antes de esta fecha tienen hasta 2027.
- 2 de agosto de 2027: Obligaciones para sistemas de alto riesgo del Anexo I (regulados por otras normativas europeas, como maquinaria, productos sanitarios o vehículos).
- Agosto de 2027 también: Los sistemas de IA de alto riesgo desplegados antes de agosto de 2026 deben haber completado su adaptación.
En resumen: si empiezas ahora, tienes tiempo suficiente para hacer las cosas bien. Si esperas a julio, estarás corriendo contra el reloj —y probablemente necesitarás ayuda externa a precio de urgencia.
Desde GSV Agency ayudamos a pymes españolas a identificar qué sistemas de IA usan, clasificarlos según el Reglamento y poner en marcha los procesos de documentación y supervisión que necesitan. Si no sabes por dónde empezar, un diagnóstico inicial de una hora puede ahorrarte muchos problemas.