Reglamento de IA UE para PYMEs — Guía obligatoria 2026

El Reglamento de IA de la UE (Reglamento (UE) 2024/1689 de 13 de junio de 2024) es la primera regulación legal integral de la inteligencia artificial en el mundo. Obliga a todas las empresas que utilicen, desarrollen o comercialicen sistemas de IA en la UE — independientemente de su tamaño o sede. Esto significa: incluso un taller artesanal con 12 empleados en Kempten está sujeto al Reglamento de IA de la UE si utiliza herramientas de IA. Definición (directa, art. 3 del Reglamento de IA UE): Un sistema de IA es un sistema basado en máquinas que, a partir de un conjunto de entradas, genera salidas como predicciones, recomendaciones, decisiones o contenidos que pueden influir en entornos físicos o virtuales. En la práctica, esto significa: ChatGPT, chatbots de IA en su propio sitio web, filtros automatizados de candidaturas, comprobaciones de crédito asistidas por IA y videovigilancia inteligente entran todos en esta definición. ¿A quién afecta? Según el art. 2 del Reglamento de IA UE, el reglamento se aplica a: — Proveedores (fabricantes/desarrolladores de sistemas de IA, también en terceros países si el sistema se usa en la UE) — Responsables del despliegue (empresas que utilizan sistemas de IA en sus propias operaciones — la mayoría de las PYMEs) — Importadores y distribuidores de sistemas de IA — Personas afectadas (no obligadas al cumplimiento, pero definidas como objeto de protección) Según un estudio Bitkom de 2025, el 64 % de las PYMEs alemanas no saben que están afectadas por el Reglamento de IA de la UE. Sin embargo, según Statista (2025), el 47 % de las empresas medianas en Alemania ya utilizan al menos una herramienta de IA en su operación — desde chatbots de IA hasta software contable automatizado y herramientas de RR. HH. asistidas por IA. Particularmente crítico: el reglamento no diferencia por tamaño de empresa. Una startup de 3 personas que utiliza un clasificador de IA de alto riesgo para candidaturas tiene las mismas obligaciones de cumplimiento que un gran grupo. Las exigencias se escalonan exclusivamente según el riesgo del sistema de IA, no según el tamaño de la empresa. ¿Por qué es relevante ahora el Reglamento de IA de la UE? La ley entra en vigor por etapas. La primera gran ola llegó el 2 de febrero de 2025 con las prohibiciones para riesgo inaceptable. El 2 de agosto de 2026 entran en vigor las obligaciones centrales de alto riesgo — esa es la fecha límite a la que las PYMEs deben prepararse hoy. Según la Comisión Europea (2025), se estima que 15 000 PYMEs en Alemania están directamente afectadas por los requisitos de alto riesgo. El ZEW (Centro Leibniz para la Investigación Económica Europea) estima en un estudio de 2024 que los costes únicos de cumplimiento para una empresa mediana pueden situarse entre 50 000 y 400 000 €, según el número y la clase de riesgo de los sistemas de IA utilizados. Una preparación temprana ahorra costes considerables — quien empiece solo en 2026 pagará más.

El núcleo del Reglamento de IA de la UE es un enfoque basado en el riesgo: cuanto mayor sea el riesgo de un sistema de IA para los derechos fundamentales y la seguridad, más estrictas son las exigencias. Existen cuatro clases de riesgo. 1. Riesgo inaceptable (sistemas de IA prohibidos) — art. 5 Reglamento de IA UE Estos sistemas de IA están prohibidos desde el 2 de febrero de 2025. Ninguna empresa puede utilizarlos: — Puntuación social por organismos públicos (como se conoce en China) — Vigilancia biométrica en tiempo real en espacios públicos por las autoridades (con excepciones estrictas) — Manipulación subliminal del comportamiento que perjudica a las personas — Explotación de vulnerabilidades (edad, discapacidad) para influir en el comportamiento — Reconocimiento de emociones en el lugar de trabajo y en centros educativos (con pocas excepciones) — Sistemas de IA para perfilar a personas en función de características protegidas Especialmente relevante para las PYMEs: quien utilice análisis de estado de ánimo o emociones asistido por IA en sus empleados debe desactivarlo de inmediato. 2. Sistemas de IA de alto riesgo — art. 6, anexo III Reglamento de IA UE Los sistemas de alto riesgo pueden seguir utilizándose, pero están sujetos a exigencias estrictas. Están listados en el anexo III del Reglamento de IA. Áreas de alto riesgo relevantes para las PYMEs: — RR. HH. y gestión de personal: sistemas para preselección automática de candidatos, evaluaciones de desempeño con IA, IA de recomendación salarial. Afecta a toda PYME que utilice IA en el trabajo de RR. HH. — Concesión de créditos: comprobaciones de solvencia y puntuación crediticia asistidas por IA. Relevante para fintechs y empresas con herramientas financieras de IA. — Educación y formación: sistemas de IA para evaluar a los alumnos o decisiones de admisión. Relevante para empresas de formación. — Infraestructuras críticas para la seguridad: IA en el suministro de agua, energía, transporte. — Justicia y administración: IA para apoyo a la decisión en procesos jurídicos. — Categorización biométrica: sistemas que categorizan a las personas según características como raza, nacionalidad, opiniones políticas. Obligaciones para los responsables del despliegue de alto riesgo: elaborar documentación técnica, realizar evaluación de conformidad, colocar el marcado CE (los proveedores), implementar sistema de gestión de riesgos, garantizar la transparencia frente a los usuarios, asegurar la supervisión humana, obligación de notificación en caso de incidentes graves. 3. Sistemas de IA de riesgo limitado — art. 50 Reglamento de IA UE Esta clase abarca sistemas de IA con potencial de engaño bajo pero real. La obligación principal es la transparencia: — Los chatbots deben revelar que el usuario se está comunicando con una IA — Los deepfakes y medios sintéticos deben identificarse como generados por IA — Los textos generados por IA con carácter informativo (noticias, comunicación oficial) deben marcarse Para la mayoría de las PYMEs es la clase más relevante: quien utilice un chatbot de IA en su sitio web debe asegurarse de que los usuarios sepan que están hablando con una IA. Es sencillo de implementar, pero ya está siendo verificado por la autoridad supervisora. 4. Riesgo mínimo — sin obligaciones específicas La mayor parte de todas las aplicaciones de IA cae en esta categoría: filtros antispam, personajes de IA en juegos, IA simple de edición de imágenes, algoritmos de recomendación sin contexto crítico. Aquí no hay obligaciones de cumplimiento — solo códigos de conducta voluntarios. Regla práctica para las PYMEs: Compruebe primero si utiliza IA en las áreas de RR. HH., crédito, educación o infraestructura crítica. Si es así, probablemente esté en el área de alto riesgo. Si solo utiliza IA para marketing, atención al cliente o generación de texto, normalmente está en el área de riesgo limitado o mínimo.

El Reglamento de IA de la UE entra en vigor de forma escalonada. Las fechas clave para su empresa de un vistazo: 1 de agosto de 2024 — Entrada en vigor El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024. Con ello comenzó el plazo oficial de aplicación. 2 de febrero de 2025 — Se aplican las prohibiciones de riesgo inaceptable Desde el 2 de febrero de 2025 (6 meses después de la entrada en vigor), todas las prácticas de IA prohibidas listadas en el art. 5 son ilegales. Las empresas que aún operan sistemas con riesgo inaceptable — como el reconocimiento de emociones en el lugar de trabajo o la publicidad manipuladora con IA — actúan desde esa fecha de forma ilícita y se arriesgan a multas inmediatas. 2 de agosto de 2025 — Obligaciones GPAI y estructura de las autoridades A partir del 2 de agosto de 2025 (12 meses después de la entrada en vigor), se aplican las normas para los modelos de IA de propósito general (General Purpose AI, GPAI) como GPT-4, Claude o Gemini. Los proveedores de estos modelos deben proporcionar documentación técnica, publicar políticas de derechos de autor y adoptar medidas de seguridad adicionales en caso de riesgos sistémicos. Para las PYMEs como usuarias de estos modelos, esto significa: solo podrá utilizar modelos GPAI de proveedores que cumplan los nuevos requisitos. Los LLM no conformes deben utilizarse con precaución a partir de esa fecha. Al mismo tiempo, las autoridades nacionales de vigilancia del mercado se vuelven operativas. 2 de agosto de 2026 — La fecha límite crítica para la mayoría de las PYMEs Desde el 2 de agosto de 2026 (24 meses después de la entrada en vigor) se aplican íntegramente todos los requisitos del Reglamento de IA de la UE — incluidas las amplias obligaciones de alto riesgo de los art. 6 y siguientes. Para los responsables del despliegue de sistemas de IA de alto riesgo esto significa: — Debe haber documentación técnica completa — La evaluación de conformidad debe estar concluida — El sistema de gestión de riesgos debe estar implementado y documentado — La supervisión humana debe estar institucionalmente anclada — Las obligaciones de transparencia e información frente a los usuarios deben estar cumplidas — Las obligaciones de notificación de incidentes a la autoridad nacional deben estar establecidas Importante: Para los sistemas de alto riesgo en ámbitos ya regulados (marcado CE conforme a otras directivas), se aplica un período transitorio prorrogado hasta el 2 de agosto de 2027. 2 de agosto de 2027 — Último plazo transitorio Hasta el 2 de agosto de 2027, los proveedores y responsables del despliegue de sistemas de IA de alto riesgo ya sujetos a procedimientos de marcado CE conforme a otras directivas de armonización (p. ej., productos sanitarios, vehículos) tienen tiempo para cumplir los nuevos requisitos del Reglamento de IA. Para todos los demás: el cumplimiento íntegro era ya obligatorio desde agosto de 2026. Recomendación para las PYMEs: Comience ahora con el inventario de IA (¿qué herramientas de IA utilizo?), la clasificación de riesgos y la elaboración de la documentación de cumplimiento. Quien empiece solo en primavera de 2026 no podrá cumplir realmente con limpieza la fecha límite de agosto.

El Reglamento de IA de la UE prevé uno de los regímenes de multas más estrictos del derecho económico europeo. Las multas se escalonan según el tipo y la gravedad de la infracción (art. 99 Reglamento de IA UE): Nivel más alto: hasta 35 M€ o el 7 % del volumen de negocios mundial anual Este marco de multas se aplica a las infracciones de las prohibiciones del art. 5 (prácticas de IA prohibidas) y a infracciones graves de los requisitos de protección de datos del Reglamento de IA. Para una PYME con 10 M€ de volumen de negocios anual significa: multas de hasta 700 000 € son posibles — ya con una sola infracción probada. Nivel intermedio: hasta 15 M€ o el 3 % del volumen de negocios anual Este marco se aplica a las infracciones de los requisitos de alto riesgo (falta de gestión de riesgos, falta de documentación, obligaciones de transparencia no cumplidas). Es el ámbito que afectará a la mayoría de las PYMEs. Nivel más bajo: hasta 7,5 M€ o el 1 % del volumen de negocios anual Por información falsa o engañosa proporcionada a las autoridades, p. ej., en la evaluación de conformidad. Regla especial para PYMEs y startups: El art. 99, apdo. 6 del Reglamento de IA UE prevé que en la determinación de las multas se tenga en cuenta la proporcionalidad y que para las PYMEs y startups se aplique el menor de los dos valores (límite máximo absoluto o porcentaje sobre el volumen de negocios). Es cierto colchón de protección — pero no un cheque en blanco. Reclamaciones privadas de daños: Además de las multas administrativas, las personas afectadas pueden reclamar daños y perjuicios al amparo del art. 82 RGPD (y en el futuro al amparo del derecho nacional de responsabilidad por IA). El EU AI Liability Act (aún en preparación, a fecha de mayo de 2026) ampliará aún más estas posibilidades de demanda. Aplicación administrativa: Cada Estado miembro de la UE debe designar una autoridad nacional de vigilancia del mercado para la IA. En Alemania probablemente asumirá este papel la Bundesnetzagentur (decisión esperada en el Ministerio Federal de Asuntos Digitales y Transporte). La autoridad recibe amplias facultades de investigación y aplicación — incluidas auditorías sin previo aviso. Daño reputacional: Además de las sanciones financieras, las infracciones del Reglamento de IA conllevan un daño reputacional considerable. El Reglamento de IA prevé una base de datos europea en la que los sistemas de alto riesgo y los incidentes son accesibles públicamente. Una entrada por infracción de cumplimiento es perjudicial para el negocio en empresas B2B.

El camino hacia el cumplimiento del Reglamento de IA de la UE no es un proyecto puntual, sino un proceso estructurado. He aquí un enfoque probado en 6 fases para empresas medianas: Fase 1: Elaborar inventario de IA (semanas 1–2) Comience por un inventario completo de todos los sistemas de IA utilizados. Suena trivial, pero no lo es: muchas PYMEs subestiman el número de herramientas de IA en uso. Puntos ciegos típicos son las funciones de IA en software estándar (p. ej., scoring de IA en HubSpot, asistencia de redacción con IA en Microsoft 365, priorización automatizada en el sistema de helpdesk). Cree una tabla con: nombre de la herramienta, proveedor, finalidad de uso, departamento afectado, número de personas afectadas y categoría preliminar de riesgo. Según una encuesta de McKinsey (2024), el 73 % de las empresas que se consideran «poco intensivas en IA» identificaron, tras un inventario sistemático, más de 15 funciones de IA individuales. Fase 2: Clasificación de riesgos (semanas 3–4) Clasifique cada sistema de IA identificado según las cuatro clases de riesgo del Reglamento de IA de la UE. Trabaje con el texto concreto del anexo III del reglamento y las directrices de la Comisión Europea (estado actual: acto delegado sobre sistemas de alto riesgo, octubre de 2024). En caso de dudas en la clasificación se recomienda consultar a un abogado especializado en derecho de la IA. Fase 3: Análisis de carencias y fijación de prioridades (semanas 5–6) Para cada sistema de alto riesgo: revise el estado actual de cumplimiento frente a los requisitos de los art. 9–15 Reglamento de IA UE. Carencias típicas en las PYMEs: — No hay documentación técnica disponible — No hay sistema formal de gestión de riesgos — No hay responsabilidad definida (AI Officer o equivalente) — No hay documentación de transparencia para el usuario — No hay procesos de escalado definidos para errores de IA Fase 4: Implementar medidas técnicas y organizativas (meses 2–5) Implementación de las medidas identificadas por orden de prioridad. Medidas inmediatas probadas en la práctica: — Política de gobernanza de IA: directriz interna para el uso de IA (plantilla disponible en Wito AI) — Designar un AI Officer: al menos una persona en el nivel directivo que asuma la responsabilidad de cumplimiento — Documentación técnica: elaborar para cada sistema de alto riesgo la documentación exigida por el Reglamento de IA — Procesos de supervisión humana: definir cómo y por quién se revisan las decisiones de IA — Avisos de transparencia: identificar todos los puntos de contacto del usuario con IA Fase 5: Evaluación de conformidad (meses 5–6) Para los sistemas de alto riesgo que usted mismo desarrolle o modifique de forma significativa: realice una evaluación de conformidad formal según el art. 43 Reglamento de IA UE (en muchos casos posible como autoevaluación). Para los sistemas de alto riesgo que solo utilice como responsable del despliegue: revise la declaración de conformidad del proveedor y asegúrese de que el proveedor cumple con el art. 16 Reglamento de IA UE. Fase 6: Supervisión continua y gestión de incidentes (a partir del mes 7) El cumplimiento no es un proyecto puntual. Implemente: — Revisión anual del inventario de IA — Registro de las decisiones de IA (en la medida técnicamente posible) — Proceso de escalado para incidentes de IA con cadena de notificación a la futura autoridad nacional — Formaciones periódicas para empleados que operen sistemas de IA — Seguimiento de actualizaciones: el Reglamento de IA se desarrolla mediante actos delegados Esfuerzo típico para una empresa mediana: Según la Bundesverband IT-Mittelstand (BITMi, 2025), las PYMEs con 50–249 empleados necesitan de media 120–280 horas para la primera documentación de cumplimiento. Con apoyo externo, este esfuerzo se reduce a 40–80 horas.

Muchas PYMEs preguntan: «Ya cumplimos el RGPD, ¿no es suficiente?» La respuesta clara: no. RGPD y Reglamento de IA UE son marcos normativos complementarios pero independientes con un enfoque distinto. RGPD (desde 2018): Regula la protección de datos personales. Se centra en la minimización de datos, la limitación de finalidad, los derechos de los interesados (acceso, supresión, oposición). Se aplica a cualquier operación de tratamiento de datos personales — con o sin IA. Reglamento de IA UE (desde 2025/2026): Regula el uso de sistemas de IA según su nivel de riesgo. Se centra en la transparencia, la supervisión humana, la documentación y la evaluación de conformidad. Se aplica a sistemas de IA — incluso cuando no traten datos personales. Solapamientos: En sistemas de IA que tratan datos personales, AMBOS marcos se aplican simultáneamente. Una herramienta de RR. HH. con IA para selección de candidatos es a la vez relevante para el RGPD (tratamiento de datos de candidatos) y para el Reglamento de IA (clasificación de alto riesgo). Las obligaciones de cumplimiento se suman, no se sustituyen. Diferencias clave de un vistazo: — El RGPD se aplica a todos los tratamientos de datos, el Reglamento de IA solo a sistemas de IA — El RGPD no tiene un enfoque por producto, el Reglamento de IA está vinculado al producto — Multas RGPD: hasta el 4 % del volumen de negocios anual mundial; Reglamento de IA: hasta el 7 % (prácticas prohibidas) o 3 % (alto riesgo) — La responsabilidad del RGPD recae en el responsable del tratamiento, el Reglamento de IA diferencia entre proveedor y responsable del despliegue Consejo práctico: Utilice su documentación RGPD existente como base. Muchos elementos — evaluación de impacto en la protección de datos (EIPD), registro de actividades de tratamiento, medidas técnicas de seguridad — pueden reutilizarse y completarse para el Reglamento de IA, en lugar de empezar de cero.

Wito AI es una agencia digital y de IA full-service centrada en las PYMEs. Acompañamos a las PYMEs en las seis fases del cumplimiento — desde el primer inventario hasta la supervisión continua. Lo que entregamos en concreto: — Digitalisierungs-Check gratuito: nuestra evaluación basada en web (ass.wito.ai) identifica en 3 minutos su uso actual de IA y proporciona una primera estimación de la relevancia del Reglamento de IA. 100 % gratuita, sin necesidad de registro. — Inventario de IA y clasificación de riesgos: elaboramos junto con usted una lista completa de todos los sistemas de IA y los clasificamos según el Reglamento de IA UE. — Documentación de cumplimiento: documentación técnica, política de gobernanza de IA, sistema de gestión de riesgos según el art. 9 Reglamento de IA UE — todo de la mano. — Formaciones para su equipo: talleres prácticos sobre los fundamentos del Reglamento de IA UE, clasificación de riesgos y mantenimiento continuo del cumplimiento. — Modelo CDOaaS continuo: como Chief Digital Officer externo, acompañamos a su empresa de forma duradera y mantenemos su cumplimiento al día ante los cambios normativos. ¿Por qué Wito AI? Combinamos el know-how técnico en IA con la comprensión jurídica del cumplimiento. Nuestro equipo ya ha acompañado a más de 40 empresas medianas en cumplimiento de RGPD e IA. No hablamos jerga jurídica — traducimos los requisitos normativos en medidas pragmáticas para la empresa. Con el modelo CDOaaS desde 990 €/mes, las pequeñas y medianas empresas reciben un experto externo que trata el cumplimiento como un tema permanente — no como un proyecto puntual.