Checklist AI Act para pymes: 10 acciones prioritarias en 2026.
El Reglamento europeo sobre IA impone obligaciones claras, pero también prevé medidas de apoyo para las pequeñas estructuras. Estas son las 10 etapas que debe seguir desde ahora, clasificadas por prioridad.
1. Inventariar todas las herramientas de IA utilizadas en la empresa
Primer paso indispensable: saber qué herramientas de IA se utilizan, incluso de manera informal.
La IA oculta representa un riesgo importante para las pymes. Según varios estudios, cerca del 40 % de las herramientas de IA utilizadas en las empresas no están declaradas. Este paso permite identificar los sistemas afectados por el AI Act y evitar sorpresas.
Utilice una tabla sencilla con las siguientes columnas: nombre de la herramienta, proveedor, función principal, datos tratados, usuarios internos. Este inventario servirá de base para los siguientes pasos.
2. Realizar un diagnóstico de riesgo para cada sistema
No todas las herramientas de IA están sujetas a las mismas obligaciones. Este paso permite priorizar las acciones.
Para los sistemas de riesgo limitado o mínimo, las obligaciones son ligeras. Para los sistemas de IA de alto riesgo, se aplican medidas específicas a partir de diciembre de 2027.
3. Identificar su rol regulatorio
El AI Act distingue dos roles principales: proveedor y responsable del despliegue. Las obligaciones difieren según su estatus.
Los responsables del despliegue tienen obligaciones más ligeras en comparación con los proveedores. Por ejemplo, deben asegurarse de que el sistema es conforme, pero no son responsables de su diseño.
4. Verificar que no se utilizan prácticas prohibidas
El AI Act prohíbe ciertas prácticas desde febrero de 2025. Este paso permite evitar sanciones graves.
Si una herramienta corresponde a una práctica prohibida, debe retirarse inmediatamente. Las sanciones pueden alcanzar los 35 millones de euros o el 7 % de la facturación mundial.
5. Implementar un programa de alfabetización en IA
El AI Act impone una formación mínima para los colaboradores que utilizan herramientas de IA.
Esta formación puede integrarse en los módulos existentes sobre protección de datos o ciberseguridad. Debe adaptarse al nivel de riesgo de las herramientas utilizadas.
6. Exigir la documentación a sus proveedores
Los responsables del despliegue deben asegurarse de que sus proveedores cumplen con el AI Act. Este paso asegura su cadena de suministro.
Conserve estos documentos en un registro dedicado. Podrán ser solicitados en caso de inspección.
7. Crear un registro interno de sistemas de IA
Los responsables del despliegue deben mantener un registro de los sistemas de IA utilizados, especialmente si están clasificados como de alto riesgo.
Este registro puede integrarse en una herramienta existente (ej: registro de tratamientos RGPD). Debe actualizarse regularmente.
8. Documentar la supervisión humana
El AI Act impone una supervisión humana para los sistemas de IA, especialmente aquellos de alto riesgo.
Esta documentación debe ser accesible y comprensible para los colaboradores afectados.
9. Preparar la ERIF si aplica
Los sistemas de IA utilizados en ámbitos sensibles pueden requerir una evaluación de impacto.
La ERIF es obligatoria para los sistemas de alto riesgo enumerados en el Anexo III. Debe realizarse antes de la puesta en servicio del sistema.
10. Establecer un plan de monitorización post-despliegue
El AI Act impone un seguimiento continuo de los sistemas de IA para detectar desviaciones o incidentes.
Este plan puede integrarse en los procedimientos existentes de gestión de riesgos o conformidad.
Las pymes se benefician de medidas de apoyo específicas en el AI Act:
- Tarifas reducidas: El Artículo 43(4) prevé tarifas preferenciales para las evaluaciones de conformidad de los sistemas de alto riesgo.
- Acceso prioritario a entornos controlados: El Artículo 55 garantiza a las pymes un acceso prioritario a estos dispositivos, que permiten probar soluciones de IA en un marco seguro.
- Obligaciones aligeradas para los GPAI: El Artículo 53(3) reduce los requisitos para las pymes proveedoras de modelos de IA de uso general.
En España, la CNMC y la AEPD trabajan conjuntamente en un entorno controlado regulatorio, que debería estar operativo antes de agosto de 2026.
Identifique sus obligaciones en 3 minutos
Nuestra herramienta de diagnóstico gratuita le permite saber qué acciones prioritarias aplicar en su empresa.
Preguntas frecuentes
Respuestas a las preguntas más comunes de las pymes sobre el AI Act.
Sí. El AI Act se aplica a todas las empresas, independientemente de su tamaño, siempre que utilicen o proporcionen sistemas de IA en la Unión Europea. El texto prevé, sin embargo, medidas de apoyo específicas para las pymes, como tarifas reducidas o acceso prioritario a entornos controlados.
Las sanciones pueden alcanzar los 35 millones de euros o el 7 % de la facturación mundial, según la cantidad más alta. Para las pymes, las autoridades de control suelen priorizar el acompañamiento sobre la sanción, pero los riesgos reputacionales y jurídicos siguen siendo importantes.
Un sistema de IA está clasificado como de alto riesgo si se utiliza en uno de los ámbitos enumerados en el Anexo III del AI Act. Por ejemplo: reclutamiento, educación, servicios financieros, salud o infraestructuras críticas. Utilice la herramienta interactiva de la Oficina de IA para verificarlo.
Un entorno controlado regulatorio es un entorno controlado que permite a las empresas probar soluciones de IA innovadoras bajo la supervisión de las autoridades competentes. El Artículo 57 del AI Act obliga a cada Estado miembro a crear al menos uno antes de agosto de 2026. Las pymes tienen acceso prioritario.
El AI Act no exige explícitamente la designación de un responsable de conformidad IA. Sin embargo, se recomienda designar una persona de referencia para coordinar las acciones de conformidad, especialmente si la empresa utiliza varios sistemas de IA o sistemas de alto riesgo. Esta persona puede ser el DPD, el responsable jurídico o un colaborador formado.