
El 2 de agosto de 2026, la mayor parte del EU AI Act se vuelve plenamente aplicable. Para muchos directivos de pymes, este reglamento europeo sobre inteligencia artificial sigue siendo difuso: ¿afecta de verdad a una empresa que solo usa ChatGPT o Copilot? La respuesta corta es sí, pero no como la mayoría cree. Esto es lo que cambia en concreto en esa fecha, y la lista de verificación que conviene repasar antes del plazo.
En resumen
- El 2 de agosto de 2026, el grueso del EU AI Act se vuelve aplicable, incluidas las reglas sobre sistemas de alto riesgo y el poder de sanción de la Comisión sobre la IA generativa.
- Las multas llegan hasta 35 M€ o el 7 % de la facturación mundial por usos prohibidos, y 15 M€ o el 3 % por incumplimientos en sistemas de alto riesgo.
- Para una pyme, el tope aplicado es el importe más bajo de los dos, una cláusula de proporcionalidad prevista en el artículo 99.
- La mayoría de las pymes son usuarias (implementadores), no proveedores: sus obligaciones son más ligeras, pero reales (transparencia, supervisión humana, formación).
- Cada Estado miembro debe abrir al menos un entorno de pruebas regulatorio (sandbox) para probar la IA en un marco supervisado.
El AI Act, en una frase
El EU AI Act es el reglamento europeo que regula la inteligencia artificial según su nivel de riesgo. Clasifica los usos en cuatro niveles: riesgo inaceptable (prohibido), alto riesgo (muy regulado), riesgo limitado (obligaciones de transparencia) y riesgo mínimo (sin restricciones). Adoptado en 2024, se aplica por etapas. La fecha del 2 de agosto de 2026 marca la entrada en vigor del grueso del marco.
1 de agosto de 2024
Entrada en vigor
2 de febrero de 2025
Usos prohibidos
2 de agosto de 2025
IA generativa y sanciones
2 de agosto de 2026
Aplicación principal
2 de agosto de 2027
Alto riesgo integrado
Qué cambia realmente el 2 de agosto de 2026
Tres cambios cuentan para una empresa.
Primero, las reglas sobre sistemas de alto riesgo se vuelven aplicables. Un sistema de alto riesgo es una IA usada en un ámbito sensible: contratación, evaluación de crédito, biometría, seguridad de productos, educación o infraestructuras críticas. Si su pyme usa un software de cribado de CV con IA o una puntuación automatizada de clientes, le concierne, aunque no haya desarrollado la herramienta usted mismo.
Después, la Comisión Europea obtiene el poder de imponer multas a los proveedores de modelos de IA de uso general (los grandes modelos tipo GPT, Claude, Gemini o Mistral). Esto no apunta a las pymes directamente, pero responsabiliza a sus proveedores, lo que refuerza la trazabilidad aguas abajo.
Por último, cada Estado miembro debe haber puesto en marcha al menos un entorno de pruebas regulatorio. Es un entorno de prueba supervisado por la autoridad, donde una empresa puede experimentar con IA innovadora sin riesgo de sanción inmediata. Una palanca útil para las pymes que quieren innovar sin ir a ciegas.
El punto clave para una pyme
Usted es muy probablemente un implementador (usuario) y no un proveedor (desarrollador) de IA. Sus obligaciones existen, pero siguen siendo proporcionadas: transparencia hacia las personas afectadas, supervisión humana y formación de sus equipos.
Proveedor o implementador: la distinción que lo cambia todo
El AI Act distingue al proveedor (quien desarrolla y pone un sistema en el mercado) del implementador (quien lo usa en un marco profesional). La gran mayoría de las pymes son implementadores. Este matiz cambia radicalmente la carga de cumplimiento.
Proveedor
Implementador (la mayoría de pymes)
Cuidado: una pyme puede pasar al estatus de proveedor sin saberlo. Por ejemplo, si personaliza mucho un modelo, lo pone en el mercado bajo su marca, o modifica de forma sustancial un sistema de alto riesgo, hereda entonces las obligaciones del proveedor.
La escala de multas
El régimen de sanciones, en vigor desde 2025, alcanza su pleno potencial con la aplicación principal. Existen tres niveles, según el artículo 99 del reglamento.
| Tipo de incumplimiento | Tope (la cifra más alta) |
|---|---|
| Uso prohibido (artículo 5) | 35 M€ o el 7 % de la facturación mundial |
| Incumplimiento en sistema de alto riesgo | 15 M€ o el 3 % de la facturación mundial |
| Información incorrecta a las autoridades | 7,5 M€ o el 1 % de la facturación mundial |
Un matiz protege a las estructuras pequeñas. Para una pyme o una start-up, la multa aplicada es el importe más bajo entre el tope fijo y el porcentaje de facturación, no el más alto. Una cláusula de proporcionalidad escrita con claridad en el reglamento.
Conviene matizar
Estos topes son máximos, no multas automáticas. El objetivo del regulador es el cumplimiento, no el castigo sistemático. Pero el orden de magnitud justifica tratar el tema con seriedad.
La lista de verificación pyme antes del 2 de agosto de 2026
No hace falta revolucionarlo todo. Un enfoque en cinco pasos cubre a la mayoría de las pymes.
Inventariar
Clasificar
Documentar
Informar
Formar
Este mapeo coincide a menudo con otro proyecto: encuadrar el shadow AI, es decir, el uso no declarado de herramientas de IA por parte de los empleados. Abordar ambos juntos ahorra tiempo.
Preguntas frecuentes
Mi empresa solo usa ChatGPT o Copilot, ¿me concierne?
Sí, pero de forma ligera. Como implementador de una herramienta de riesgo limitado, sus obligaciones principales se refieren a la transparencia y al uso conforme a las instrucciones. El peso regulatorio recae primero en el proveedor del modelo, no en usted.
¿Qué multas afronta realmente una pyme?
Los topes van de 7,5 M€ a 35 M€ según la gravedad, pero para una pyme la multa aplicada es siempre el importe más bajo entre el tope fijo y el porcentaje de facturación. El objetivo sigue siendo el cumplimiento, no el castigo.
¿Qué es un sistema de IA de alto riesgo?
Es una IA usada en un ámbito sensible: contratación, puntuación de crédito, biometría, educación, seguridad de productos o infraestructuras críticas. Estos sistemas están sujetos a exigencias reforzadas de documentación, supervisión y gestión de riesgos.
¿Qué hago si no he preparado nada antes del 2 de agosto de 2026?
Empiece por el inventario de sus herramientas de IA y su clasificación. La mayoría de las pymes descubren que solo usan sistemas de riesgo limitado, lo que hace rápido el cumplimiento. Lo importante es tener un enfoque documentado.
Conclusión
El 2 de agosto de 2026 no es un muro para las pymes, sino una etapa que preparar con calma. La buena noticia: la mayoría de las empresas son usuarias de IA, no proveedoras, y sus obligaciones siguen siendo proporcionadas. Un mapa honesto de sus herramientas, algo de transparencia y un esfuerzo de formación cubren lo esencial. Para profundizar en la gobernanza de la IA a nivel interno, consulte nuestros otros recursos del Mag LUWAI o nuestros casos de clientes.


