La regulación de la inteligencia artificial ha dejado de ser un futurible, y llega en un momento en que la mayoría de las PYMES usan la IA de una forma u otra. Desde febrero de 2025 ya se aplican las primeras disposiciones del Reglamento europeo de Inteligencia Artificial —la AI Act— y España, con una inusual celeridad legislativa, ha presentado un Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA.
No estamos ante normas que solo afecten a los gigantes tecnológicos que desarrollen estos sistemas. También alcanzan a quienes simplemente los usan, y ahí entramos casi todos. La mayoría de nuestras PYMES no diseñan modelos propios: utilizan los que ya existen —ChatGPT, Copilot, Claude o Gemini— en su trabajo diario. Ese papel de “deployer” (según la nomenclatura de la UE) o usuario responsable del despliegue/uso trae consigo obligaciones cuyo incumplimiento puede ser objeto de un procedimiento sancionador.
El Reglamento europeo ha diseñado un sistema escalonado según el nivel de riesgo. En la base se sitúan los usos de riesgo limitado, los más habituales en las PYMES: redactar informes, programar, responder correos o elaborar contenidos de marketing. La exigencia en estos casos es relativamente sencilla: informar al cliente cuando interactúe con una máquina y etiquetar como artificial cualquier contenido generado por IA que se ponga a disposición del público, esto es, en páginas web, redes sociales, campañas publicitarias o folletos, pero no en comunicaciones privadas o en informes personalizados.
Estas reglas de transparencia ya son exigibles desde agosto de 2025.
La IA ya forma parte de las tareas cotidianas de muchas PYMES, desde el marketing hasta la gestión interna.
En el otro extremo están los usos de alto riesgo: aquellos que afectan a decisiones importantes en recursos humanos, finanzas, educación o salud. Aquí, aunque la herramienta se compre a un tercero, la PYME mantiene obligaciones serias: supervisar el sistema, seguir las instrucciones del proveedor, controlar la calidad de los datos que introduce, conservar registros, monitorizar resultados, notificar incidentes graves y, en ciertos casos, realizar una evaluación de impacto sobre derechos fundamentales.
Es decir: la contratación de un servicio AI legal, acomodado a la norma, no exime de responsabilidades por su uso.
El régimen sancionador es lo que más debe preocupar a las PYMES. Las cifras máximas del reglamento —35, 15 o 7,5 millones de euros— asustan, pero para las PYMES lo que cuenta son los porcentajes sobre facturación, mucho más realistas y aplicables si, como será habitual, son menores a las fijas. El uso de sistemas prohibidos —puntuación social, reconocimiento biométrico en tiempo real, manipulación subliminal— puede suponer hasta un 7% de la facturación anual. Incumplir obligaciones en sistemas de alto riesgo o de transparencia, hasta un 3%. Y dar información incierta a la autoridad, un 1%. Son estos porcentajes, no las cifras absolutas, los que marcan el riesgo real para las pequeñas y medianas empresas.
El Anteproyecto español sigue la línea europea pero introduce sus propios matices, algunos controvertidos. Clasifica las infracciones en leves, graves y muy graves, mezclando porcentajes con horquillas fijas, lo que puede generar cierta confusión interpretativa. Contempla la posibilidad de sustituir la multa por un simple requerimiento corrector si la infracción no es grave y la empresa rectifica. Y, sobre todo, otorga a la Agencia Española de Supervisión de la IA el poder de ordenar la desconexión inmediata de un sistema en casos de uso prohibido, infracción muy grave o cuando haya un incidente que amenace la salud, la seguridad o los derechos fundamentales. Esta medida cautelar, que no aparece en la EU IA ACT, podría interpretarse como un exceso del legislador nacional —un “ultra vires”, pues conviene recordar que la norma europea es un Reglamento y, como tal, de aplicación directa en todos los Estados miembros. No necesita transposición, sino una norma nacional de desarrollo que no puede, por tanto, desconfigurar el texto. Es de suponer que estos errores se corregirán en la tramitación legislativa del Anteproyecto.
Para una PYME, que le desconecten un sistema puede ser más dañino que cualquier multa. Imaginemos una empresa turística que gestione sus reservas con IA: una orden de desconexión paralizaría su negocio de inmediato.
La conclusión, en suma, es clara: las PYMES no pueden asumir que esta normativa solo afecta a los gigantes tecnológicos o los creadores de IA. Usar inteligencia artificial sin atender al marco legal puede traer consecuencias serias: desde un requerimiento correctivo hasta una sanción porcentual considerable, pasando por la desconexión repentina del sistema.
Nuestro consejo es empezar por lo básico: hacer un inventario de qué herramientas de IA se usan en la PYME, pedir la documentación necesaria al proveedor (contratos) y formar al personal en el uso responsable de estos sistemas. También puede ser útil echar un vistazo a recursos divulgativos como el “AI Act Compliance Checker”, que ayuda a determinar si el uso es de riesgo limitado o alto.
La inteligencia artificial ofrece mejoras en productividad evidentes para las PYMES, pero no es territorio libre de normas; ninguno lo es.
Este nuevo marco regulatorio establece que, por modesto que sea el uso que haga una PYME de la IA, cada empresa debe responder de cómo la emplea.
