Cumplimiento del EU AI Act para pequeñas y medianas empresas. Disposiciones específicas para pymes, acceso a entornos de pruebas regulatorios, tasas reducidas y orientación práctica para implementadores y desarrolladores de IA.
El EU AI Act y las pymes — Las buenas noticias
El EU AI Act (Reglamento (UE) 2024/1689) se aplica a todas las organizaciones que comercializan o utilizan sistemas de IA en el mercado de la UE, independientemente de su tamaño. Sin embargo, la realidad regulatoria para la mayoría de las pequeñas y medianas empresas es considerablemente menos onerosa de lo que sugieren los titulares, por una razón fundamental: la gran mayoría de las pymes utilizan la IA en lugar de desarrollarla.
Una pyme que se suscribe a un CRM con funcionalidades de IA, implementa un chatbot de un proveedor SaaS o utiliza un software de previsión de la demanda basado en la nube es, en la terminología del EU AI Act, un implementador (deployer) — no un proveedor. Las obligaciones del implementador son sistemáticamente más ligeras que las del proveedor. Los proveedores asumen la carga principal de la evaluación de conformidad, la documentación técnica, el marcado CE y el registro. Los implementadores tienen un conjunto de obligaciones más específico, centrado en el uso correcto, la supervisión humana y la notificación de incidentes.
Más allá de la distinción entre implementador y proveedor, el EU AI Act contiene un conjunto específico de disposiciones para pymes que ofrecen un apoyo estructural: acceso prioritario a entornos de pruebas regulatorios, tasas reducidas de evaluación de conformidad y un punto de contacto único dedicado a nivel nacional. Estas disposiciones reflejan la intención explícita del legislador de evitar que el AI Act se convierta en una barrera desproporcionada para los participantes más pequeños del mercado.
Esta guía expone lo que el EU AI Act implica en la práctica para una pyme — ya sea que utilice herramientas de IA de terceros, implemente IA en contextos orientados al cliente o esté desarrollando y comercializando un producto de IA propio.
Disposiciones específicas para pymes en el Reglamento
El EU AI Act incluye cuatro disposiciones aplicables específicamente a las pymes (empresas que cumplen el umbral de la Recomendación de la Comisión 2003/361/CE: menos de 250 empleados y un volumen de negocio anual que no supere los 50 millones de euros o un balance general que no supere los 43 millones de euros) y a las startups.
Art. 55 — Acceso prioritario a entornos de pruebas regulatorios
El Art. 55 establece que los entornos de pruebas regulatorios de IA — entornos supervisados para el desarrollo y la prueba de IA antes de su comercialización — deben ser accesibles de forma prioritaria para las pymes y las startups. El acceso es gratuito o está sujeto a tasas reducidas, y las organizaciones participantes reciben orientación directa por parte de la autoridad competente. El acceso al entorno de pruebas permite la identificación de riesgos precomerciales y el diálogo regulatorio en un entorno protegido, sin las consecuencias de una comercialización no conforme. Las pymes que desarrollan sistemas de IA deben considerar la participación en entornos de pruebas como una herramienta de cumplimiento y como un mecanismo para relacionarse directamente con la autoridad supervisora antes del lanzamiento del producto.
Art. 96 — Tasas reducidas para la evaluación de conformidad
Cuando un sistema de IA de alto riesgo requiera una evaluación de conformidad por un organismo notificado (aplicable a los sistemas enumerados en los puntos 1, 6 y 7 del Anexo III y a la IA de dispositivos médicos en virtud del Art. 6(1)), el Art. 96 exige a los Estados miembros establecer tasas reducidas para las pequeñas empresas. Las microempresas — aquellas con menos de 10 empleados y un volumen de negocio anual o balance general que no supere los 2 millones de euros — tienen derecho a reducciones incluso mayores. Los baremos exactos de tasas se fijan a nivel de Estado miembro y varían según la jurisdicción; la autoridad nacional de IA competente o la Enterprise Europe Network pueden proporcionar las cifras actualizadas.
Art. 85 — Punto de contacto único
El Art. 85 obliga a las autoridades nacionales de supervisión de la IA a establecer un punto de contacto único dedicado para las pymes. Esto significa que una pyme que busca orientación sobre las obligaciones del AI Act no necesita navegar por múltiples departamentos regulatorios ni coordinarse entre autoridades fragmentadas. El punto de contacto único facilita información, redirige las consultas a la función correspondiente y facilita las solicitudes de acceso a los entornos de pruebas. Esta disposición reduce significativamente el coste administrativo de comprender las obligaciones regulatorias.
Art. 9(5) — Gestión de riesgos proporcionada
El Art. 9(5) establece que el sistema de gestión de riesgos exigido a los proveedores de sistemas de IA de alto riesgo podrá aplicarse de forma proporcionada, teniendo en cuenta el tamaño y la estructura de la organización. Para una pyme que actúe como proveedora de un sistema de alto riesgo, esto significa que, si bien deben cumplirse todos los requisitos sustantivos del sistema de gestión de riesgos, el formato de la documentación, la complejidad de los procesos y la estructura de gobernanza pueden adaptarse a la capacidad real de la organización — siempre que ello no menoscabe los objetivos de protección del marco normativo.
¿Es usted proveedor o implementador? — Marco de decisión para pymes
La determinación preliminar más importante para cualquier pyme que trabaje con el EU AI Act es si actúa como proveedor o como implementador con respecto a cada sistema de IA que utiliza u ofrece.
Proveedor (Art. 3(3)): Organización que desarrolla un sistema de IA, o que lo hace desarrollar, y lo comercializa o pone en servicio bajo su propio nombre o marca — ya sea de forma onerosa o gratuita. Esto incluye a las pymes que:
- Desarrollan un producto de software que incorpora IA (incluidos modelos de IA a los que se accede mediante API) y venden o licencian ese producto a clientes;
- Desarrollan un modelo o una aplicación de IA internamente y lo implementan como un servicio para usuarios finales externos a la organización;
- Modifican sustancialmente un sistema de IA de terceros de forma que cambie su propósito previsto.
Implementador (Art. 3(4)): Organización que utiliza un sistema de IA bajo su propia responsabilidad con fines profesionales. Esto abarca a las pymes que:
- Se suscriben a productos SaaS con funcionalidades de IA integradas (CRM, ERP o software de contabilidad con IA);
- Utilizan un chatbot o IA conversacional de un tercero en su sitio web;
- Acceden a API de IA en la nube (procesamiento del lenguaje natural, clasificación de imágenes, motores de recomendación) únicamente para automatizar flujos de trabajo internos o mejorar sus propios servicios, sin ofrecer la capacidad de IA como funcionalidad de producto a terceros;
- Adquieren software de RRHH, previsión de inventarios o herramientas de análisis de clientes a proveedores externos.
El caso límite crítico: Una pyme que integra una API de IA externa en su propio producto orientado al cliente y comercializa dicha capacidad como una funcionalidad de su producto es un proveedor con respecto a esa funcionalidad de IA — y no meramente un implementador de la API subyacente. La persona jurídica que define el propósito previsto, controla la experiencia del usuario y comercializa el producto asume las obligaciones del proveedor en virtud del Art. 16, independientemente del origen del modelo de IA.
Obligaciones clave del implementador para pymes que utilizan IA de terceros
Para la mayoría de las pymes — aquellas que implementan herramientas de IA de terceros en lugar de desarrollar las propias — se aplican las siguientes obligaciones en virtud del Art. 26 y disposiciones relacionadas.
Utilizar los sistemas de IA conforme a las instrucciones del proveedor
Los implementadores deben utilizar los sistemas de IA de alto riesgo únicamente de acuerdo con las instrucciones de uso del proveedor facilitadas en virtud del Art. 13. El uso de un sistema de IA para fines que excedan su propósito previsto documentado, o en configuraciones no validadas por el proveedor, transfiere parte de la responsabilidad de cumplimiento al implementador y puede invalidar la evaluación de conformidad del sistema.
Designar una supervisión humana responsable
El Art. 26(1) exige a los implementadores que asignen la responsabilidad de la supervisión de la IA a una persona cualificada dentro de la organización. Para la mayoría de las pymes, se tratará de una persona nominada (no necesariamente un responsable de cumplimiento de IA dedicado) que comprenda la función del sistema, sus limitaciones conocidas y las circunstancias en las que se requiere intervención humana. Esta designación debe documentarse.
Conservar los registros operativos
Cuando los sistemas de IA de alto riesgo generen registros automáticamente (Art. 12), los implementadores deben conservar dichos registros durante el período legalmente exigido — generalmente seis meses en virtud del AI Act, salvo que una normativa sectorial específica exija un período de conservación más largo. Los implementadores deben verificar que su contrato con el proveedor les otorga acceso a los registros y confirma su formato y completitud.
Notificar los incidentes graves al proveedor
El Art. 26(5) exige a los implementadores notificar al proveedor cualquier incidente grave o fallo detectado durante el uso. Cuando la organización implementadora sea un organismo público, las obligaciones de notificación se extienden a la autoridad nacional de supervisión de la IA. Para los implementadores pymes del sector privado, el canal principal es la notificación directa al proveedor, que a su vez asume sus propias obligaciones de notificar a la autoridad en virtud del Art. 73.
Realizar una evaluación del impacto sobre los derechos fundamentales cuando proceda
El Art. 27 exige a los organismos públicos que implementen IA de alto riesgo que completen una evaluación del impacto sobre los derechos fundamentales antes de la implementación. Se recomienda encarecidamente a las pymes del sector privado que implementen IA de alto riesgo — especialmente en contextos de RRHH, evaluación crediticia o decisiones orientadas al cliente — que realicen una evaluación equivalente, ya que demuestra la diligencia debida y reduce materialmente el riesgo de actuación sancionadora.
Revisar los contratos con proveedores
Los implementadores pymes deben asegurarse de que sus contratos con los proveedores de IA incluyan: documentación de conformidad e instrucciones de uso; confirmación del registro en la base de datos de la UE cuando proceda; especificación de la capacidad de registro y los derechos de acceso; el compromiso del proveedor en materia de notificación de incidentes y de remediación; e información sobre las obligaciones de actualización o modificación que puedan afectar al estado de conformidad del sistema.
Si está desarrollando IA — Obligaciones y apoyos para proveedores pymes
Las pymes que desarrollan y comercializan sistemas de IA son proveedoras y asumen la totalidad de las obligaciones del proveedor en virtud del Capítulo III para cualquier sistema que sea de alto riesgo. El alcance de dichas obligaciones es considerable: sistema de gestión de la calidad (Art. 17), documentación técnica conforme al Anexo IV, gobernanza de datos conforme al Art. 10, registro conforme al Art. 12, requisitos de transparencia conforme al Art. 13, diseño de la supervisión humana conforme al Art. 14, y estándares de exactitud y solidez conforme al Art. 15. Para los sistemas del Anexo III que requieran una evaluación por un organismo notificado, la vía de conformidad sigue el Art. 43.
El punto de partida práctico para un proveedor pyme es la determinación de la clasificación de riesgo:
- ¿Está el sistema de IA incluido en el Art. 5 (prácticas prohibidas)? En caso afirmativo, el desarrollo debe cesar o reestructurarse de forma fundamental antes de cualquier actividad de mercado.
- ¿Califica el sistema como de alto riesgo en virtud del Art. 6(1) (componente de seguridad de un producto regulado) o del Anexo III (ámbitos de aplicación enumerados, incluidos la identificación biométrica, las infraestructuras críticas, la educación, el empleo, los servicios esenciales, la aplicación de la ley, la migración y la justicia)?
- ¿Califica el sistema únicamente como modelo de IA de uso general regulado por los Arts. 51–56, sin clasificación de alto riesgo?
- ¿Está el sistema sujeto únicamente a las obligaciones de transparencia del Art. 50 (reconocimiento de emociones, deepfake, chatbots)?
Para las pymes cuyos sistemas se encuentren fuera de las categorías de alto riesgo y prohibidas, el cumplimiento es considerablemente más ligero: declaraciones de transparencia conforme al Art. 50, alineación con el GDPR y obligaciones sectoriales específicas en virtud de la normativa nacional o de la UE aplicable.
Para las pymes que desarrollan IA de alto riesgo, el entorno de pruebas regulatorio del Art. 55 es la herramienta disponible más importante. La participación en el entorno de pruebas permite las pruebas precomerciales bajo supervisión regulatoria, aporta evidencia documentada de un esfuerzo de cumplimiento de buena fe y puede identificar acciones correctivas antes de que se conviertan en asuntos de actuación sancionadora. Las solicitudes se presentan ante el punto de contacto único nacional (Art. 85).
Pasos prácticos para el cumplimiento de las pymes
Paso 1 — Realizar un inventario de todos los sistemas de IA en uso o en desarrollo. Enumere cada herramienta de IA, producto SaaS, API en la nube y modelo desarrollado internamente. Indique el proveedor, la función y si la pyme actúa como proveedor o implementador para cada uno.
Paso 2 — Clasificar cada sistema por categoría de riesgo. Aplique el marco del Art. 5 / Art. 6 / Anexo III / Art. 50 a cada sistema. En caso de que la clasificación sea incierta, utilice el punto de contacto único del Art. 85 para obtener orientación.
Paso 3 — Para los roles de implementador: auditar los contratos con proveedores. Verifique que cada proveedor de IA ha facilitado la documentación requerida en virtud del Art. 13 y que el contrato aborda el registro, la notificación de incidentes y las obligaciones de actualización. Identifique las carencias para su renegociación.
Paso 4 — Para los roles de proveedor: iniciar la vía de conformidad. Determine si su sistema de IA de alto riesgo requiere autoevaluación (Art. 43(2)) o evaluación por un organismo notificado externo (Art. 43(1)). Solicite el acceso al entorno de pruebas en virtud del Art. 55 si el sistema está en desarrollo. Contacte con el organismo notificado con antelación para conocer los plazos y las implicaciones en materia de tasas, teniendo en cuenta su derecho a las reducciones de tasas para pymes conforme al Art. 96.
Paso 5 — Implementar las obligaciones del implementador del Art. 26 en todos los sistemas de alto riesgo. Designe responsables de supervisión, documente sus responsabilidades, verifique los procedimientos de conservación de registros y confirme los canales de notificación de incidentes.
Paso 6 — Establecer un ciclo de revisión del AI Act. El EU AI Act es un marco normativo en evolución. Designe a un responsable de supervisar la orientación de la Oficina de IA de la UE, las actualizaciones de la autoridad nacional y los cambios en las clasificaciones del Anexo III. Programe una revisión interna anual del inventario de sistemas y del estado de cumplimiento.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Sí. Si su pyme integra un modelo de IA de terceros (incluso mediante API) en un producto o servicio que usted comercializa o pone en servicio bajo su propio nombre o marca, se clasifica como **proveedor** en virtud del **Art. 3(3)** del EU AI Act. Esto se aplica independientemente de que el modelo subyacente haya sido desarrollado por otra empresa. Las obligaciones del proveedor — incluidas la documentación técnica, la evaluación de conformidad, el marcado CE (para sistemas de alto riesgo) y el registro — son responsabilidad suya. En los casos en que el proveedor del modelo original facilite documentación de conformidad e instrucciones de uso, dichos documentos respaldan su esfuerzo de cumplimiento, pero no lo sustituyen. Los Arts. 55 y 96 prevén mecanismos de apoyo específicos para pymes con el fin de aliviar la carga de cumplimiento.
Depende de dos factores: la naturaleza del chatbot y su funcionalidad. En primer lugar, si el chatbot es un **sistema basado en IA de uso general** que interactúa con usuarios, debe cumplir la **obligación de transparencia del Art. 50**: los usuarios deben ser informados de que están interactuando con un sistema de IA, salvo que esto sea evidente por el contexto. En segundo lugar, si el chatbot desempeña funciones que lo califican como de alto riesgo — por ejemplo, la criba de candidatos a un puesto de trabajo, la evaluación de solvencia crediticia o la adopción de decisiones con efectos jurídicos o personales significativos — se aplican obligaciones adicionales propias de los sistemas de alto riesgo. Un chatbot sencillo de preguntas frecuentes o de navegación por productos que utiliza un proveedor SaaS externo (en cuyo caso usted actúa como implementador) activa principalmente el requisito de transparencia del Art. 50 y las obligaciones del implementador previstas en el Art. 26, en particular el uso correcto conforme a las instrucciones y la notificación de incidentes.
Un **entorno de pruebas regulatorio de IA** (regulatory AI sandbox) es un entorno de prueba supervisado establecido por las autoridades nacionales de supervisión de la IA, en el que los proveedores de IA — incluidas startups y pymes — pueden desarrollar, probar y validar sistemas de IA antes de su comercialización, con orientación regulatoria directa. Estos entornos se rigen por los **Arts. 57–63** del EU AI Act. El **Art. 55 otorga acceso prioritario a las pymes y startups**, y la participación es gratuita o está sujeta a tasas reducidas. Las solicitudes se presentan directamente ante la autoridad nacional responsable del AI Act en su Estado miembro. Dentro del entorno de pruebas, la autoridad puede conceder derogaciones limitadas de determinados requisitos para posibilitar pruebas genuinas; cualquier producto comercializado tras el período en el entorno de pruebas debe cumplir posteriormente todas las obligaciones aplicables. Contacte con el punto de contacto único nacional para pymes (**Art. 85**) para obtener información sobre los procedimientos de solicitud.
El registro en la **base de datos de la UE para sistemas de IA de alto riesgo** prevista en el **Art. 49** solo es obligatorio si su sistema está clasificado como **de alto riesgo** en virtud del Art. 6 o del Anexo III. Los proveedores de sistemas de alto riesgo deben registrarse antes de la comercialización; los implementadores que sean organismos públicos también deben registrarse antes de la puesta en uso. La mayoría de las pymes que implementan sistemas de IA de terceros (como consumidores de SaaS o API) no están obligadas a registrarse — esa obligación recae sobre el proveedor. Si su pyme es proveedora de un sistema de IA de alto riesgo, el registro es obligatorio con independencia del tamaño de la empresa, aunque las disposiciones de apoyo de los Arts. 55 y 96 se aplican para reducir los costes y la complejidad procedimental asociados. La base de datos es de acceso público y está gestionada por la Oficina de IA de la UE.
Antes de implementar un sistema de IA de terceros, especialmente uno que pueda ser de alto riesgo, su pyme debe exigir contractualmente y obtener: (1) la **Declaración UE de Conformidad** o documentación equivalente de conformidad; (2) las **instrucciones de uso** requeridas por el Art. 13, incluidos el propósito previsto, las limitaciones conocidas y los requisitos de supervisión humana; (3) la confirmación de que el sistema ha sido **registrado en la base de datos de la UE** cuando proceda; (4) información sobre las **capacidades de registro** del sistema y la forma en que se puede acceder a los registros o recuperarlos; (5) los **procedimientos de notificación de incidentes** del proveedor y sus obligaciones de informarle sobre fallos o actualizaciones que afecten al cumplimiento; y (6) información sobre las **características del tratamiento de datos** del sistema que sean relevantes para sus obligaciones en virtud del GDPR. La ausencia de estos documentos por parte de un proveedor que ofrece un sistema de IA en un ámbito sensible constituye un riesgo material de incumplimiento.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.