CSRD e IA Act: Lo Que Su PYME Necesita Saber en 2025

Las PYME europeas navegan hoy en un entorno regulatorio sin precedentes: dos textos legislativos fundamentales — la CSRD (Directiva de Información Corporativa sobre Sostenibilidad) y la IA Act — convergen para transformar en profundidad las obligaciones empresariales. Comprender su articulación es ahora estratégico, no solo jurídico.

Por Qué Esta Doble Regulación Afecta a Su PYME

Muchos directivos de PYME creen erróneamente que estas normas solo se aplican a las grandes empresas. Es un error costoso. Si su empresa es proveedor o subcontratista de una gran empresa sujeta a la CSRD, se verá indirectamente afectada por sus obligaciones de información. Y si utiliza o despliega sistemas de IA — incluso herramientas de RR.HH. o de scoring de clientes — la IA Act le aplica ya.

La CSRD: Calendario y Umbrales para las PYME

La CSRD introdujo la presentación obligatoria de informes de sostenibilidad en tres oleadas:

• 2025: Grandes empresas (>500 empleados) ya sujetas a la NFRD
• 2026: Grandes empresas (>250 empleados O >40 M€ de facturación O >20 M€ de balance)
• 2027: PYME cotizadas en mercados regulados (con cláusula de exclusión hasta 2028)

Las PYME no cotizadas no están directamente sujetas a la CSRD. Pero atención: las grandes empresas clientes o socias le pedirán datos ESG para completar su propio reporting. La presión de la cadena de valor es real.

El Estándar Voluntario VSME

EFRAG desarrolló un estándar simplificado para PYME no cotizadas: el VSME (Voluntary SME Standard). Permite responder a las solicitudes de sus socios sin asumir la totalidad de las exigencias ESRS. Adoptar el VSME ahora le da una ventaja comercial.

La IA Act: Lo Que Aplica a las PYME Desde 2025

La IA Act entró en vigor el 1 de agosto de 2024. Su despliegue es progresivo:

• Febrero 2025: Prohibición de prácticas de IA inaceptables
• Agosto 2025: Obligaciones para los modelos de IA de uso general (GPAI)
• Agosto 2026: Obligaciones completas para los sistemas de IA de alto riesgo

¿Está Afectado por los Sistemas de Alto Riesgo?

El Anexo III de la IA Act enumera los ámbitos de alto riesgo. Su PYME puede estar afectada si utiliza o desarrolla sistemas de IA para:

• Contratación y gestión de RR.HH. (scoring de CV, evaluación del desempeño)
• Acceso al crédito (scoring de solvencia)
• Educación y formación profesional
• Servicios esenciales (agua, gas, electricidad)
• Seguridad de productos en sectores regulados

Si se encuadra en estas categorías, aplican obligaciones de cumplimiento: gestión de riesgos, documentación técnica, registros de eventos, supervisión humana.

Alivios Específicos para PYME

El legislador europeo incorporó medidas específicas para aligerar la carga sobre las PYME:

1. Espacio controlado de pruebas (sandbox): Acceso prioritario para probar sus sistemas de IA en un entorno seguro antes de la comercialización
2. Tarifas reducidas ante los organismos notificados para PYME y microempresas
3. Documentación simplificada para determinadas categorías
4. Plazos adicionales para proveedores de sistemas de alto riesgo ya en el mercado

Puntos de Convergencia CSRD / IA Act

Estos dos textos se refuerzan mutuamente en varios puntos críticos:

1. Gobernanza de Datos

La CSRD exige un reporting preciso sobre sus impactos ambientales y sociales — lo que implica una recopilación rigurosa de datos. La IA Act impone la documentación de los datos de entrenamiento para los sistemas de alto riesgo. Una arquitectura de datos sólida sirve a ambas obligaciones.

2. Transparencia y Auditabilidad

Ambos textos exigen que sus procesos sean trazables y verificables por terceros. Para la CSRD, es el auditor financiero. Para la IA Act, son las autoridades de vigilancia del mercado. Construir procesos auditables es una inversión compartida.

3. Supervisión Humana

La IA Act impone una supervisión humana efectiva sobre los sistemas de alto riesgo. Este requisito se alinea con el espíritu de la CSRD, que valora la gobernanza responsable. Documentar sus procesos de control humano sobre las decisiones de IA responde a ambos marcos.

4. Diligencia Debida en la Cadena de Valor

La CSRD (a través de la CSDDD) impone la diligencia debida sobre sus impactos a lo largo de toda la cadena de valor. La IA Act crea obligaciones similares para los desplegadores que utilizan sistemas de IA desarrollados por terceros. Ambos textos le hacen responsable de lo que compra y utiliza.

Un Plan de Acción Concreto para Su PYME

A continuación, una hoja de ruta pragmática en tres horizontes:

Corto Plazo (Ahora — T3 2025)

• [ ] Cartografiar sus sistemas de IA: Identifique todas las herramientas que usan IA (incluidos SaaS de terceros) y su clasificación de riesgo
• [ ] Evaluar su exposición indirecta a la CSRD: Analice sus contratos con grandes empresas para anticipar sus solicitudes ESG
• [ ] Designar un responsable regulatorio: Aunque sea a tiempo parcial, alguien debe pilotar estos temas
• [ ] Inventariar sus datos: ¿Cuál es la calidad, trazabilidad y gobernanza de sus datos ESG y de IA?

Medio Plazo (T4 2025 — T2 2026)

• [ ] Adoptar el estándar VSME si lo solicitan socios sujetos a la CSRD
• [ ] Poner en conformidad sus sistemas de IA de alto riesgo: documentación técnica, gestión de riesgos, supervisión humana
• [ ] Formar a sus equipos en los requisitos básicos de la IA Act (incluida la obligación de alfabetización en IA para todo el personal que use sistemas de IA)
• [ ] Revisar sus contratos con proveedores de IA: Sus proveedores SaaS deben facilitarle la documentación necesaria para su cumplimiento

Largo Plazo (T3 2026 en adelante)

• [ ] Integrar la gobernanza ESG y de IA en su estrategia: Estos temas ya no son periféricos
• [ ] Valorizar su cumplimiento ante clientes e inversores
• [ ] Participar en sandboxes regulatorios para probar la innovación en un entorno seguro

La Obligación de Alfabetización en IA: A Menudo Olvidada, Pero Inmediata

El artículo 4 de la IA Act impone una obligación frecuentemente ignorada: garantizar un nivel suficiente de alfabetización en IA para todo el personal que utilice o supervise sistemas de IA. Esta obligación aplica ya, sin período de transición.

En la práctica, esto significa que si sus empleados usan herramientas como ChatGPT, software de selección basado en IA o sistemas de predicción de demanda, debe poder demostrar que comprenden las capacidades y limitaciones de esas herramientas.

Nuestras Recomendaciones

No trate la CSRD y la IA Act como dos proyectos separados. Las sinergias son reales y su puesta en común reduce significativamente sus costes de cumplimiento. Comience con un diagnóstico rápido de su exposición a ambos textos — es la base de cualquier plan de acción realista.

Si tiene preguntas sobre su situación específica, nuestros análisis sectoriales y herramientas de diagnóstico están disponibles en esta plataforma.

Este artículo se proporciona con fines informativos y no constituye asesoramiento jurídico. Para su situación específica, consulte a un asesor cualificado.