Reglamento de Inteligencia Artificial y pymes: lo que tienes que hacer antes del 2 de agosto de 2026

Reglamento de Inteligencia Artificial y pymes: lo que tienes que hacer antes del 2 de agosto de 2026

Por el equipo de Lexlon · Mayo 2026 · 9 min de lectura

Si alguien usa ChatGPT en tu empresa, ya tienes obligaciones legales

No hace falta tener un departamento de tecnología ni desarrollar sistemas de IA propios. Si en tu empresa alguien usa ChatGPT, Copilot, Gemini, o cualquier herramienta con inteligencia artificial detrás — y casi con certeza alguien lo hace — el Reglamento Europeo de Inteligencia Artificial (Reglamento UE 2024/1689) ya te obliga.

Desde el 2 de febrero de 2025, cualquier organización que use sistemas de IA en su actividad profesional tiene obligaciones legales exigibles. La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) ya tiene capacidad para inspeccionar y sancionar.

El 2 de agosto de 2026 no es el inicio de la regulación. Es la fecha en que entra en vigor el régimen sancionador completo, con multas de hasta 35 millones de euros o el 7% de la facturación anual global. Para entonces, tu empresa tiene que tener ya avanzado el cumplimiento, no empezarlo.

Este artículo explica exactamente qué tienes que hacer, en qué orden, y qué nivel de riesgo tienen los sistemas de IA que ya estás usando.

¿Quieres saber qué obligaciones tiene tu empresa? → Informate aquí

Por qué afecta a tu pyme aunque no desarrolles IA

El Reglamento de IA distingue dos figuras principales: el proveedor (quien desarrolla y pone en el mercado el sistema de IA) y el responsable del despliegue (quien lo usa en su actividad profesional). OpenAI, Microsoft o Google son proveedores. Tu empresa es responsable del despliegue.

El hecho de que ChatGPT o Copilot cumplan sus obligaciones como proveedores no exonera a tu empresa de cumplir las suyas como responsable del despliegue. Son ámbitos distintos del Reglamento y no se compensan.

Esto significa que cualquier pyme que use herramientas de IA generativa en su actividad — para redactar, analizar datos, atender clientes, seleccionar personal o automatizar procesos — tiene obligaciones propias que debe cumplir y documentar, independientemente de que el proveedor de la herramienta sea una gran tecnológica.

La primera obligación: ya está en vigor desde febrero de 2025

El artículo 4 del Reglamento establece la obligación de alfabetización en materia de IA para todos los responsables del despliegue. Dice textualmente:

"Los proveedores y los responsables del despliegue de sistemas de IA adoptarán medidas para garantizar, en la mayor medida posible, que su personal y otras personas que operen y utilicen sistemas de IA en su nombre tengan un nivel suficiente de alfabetización en materia de IA."

Esta obligación es exigible desde el 2 de febrero de 2025. Si tu empresa usa IA y nadie ha recibido formación ni hay documentación que lo acredite, ya llevas más de un año en incumplimiento.

Alfabetización en IA no significa convertir a tus empleados en ingenieros. Significa que quienes usan estas herramientas entienden cómo funcionan, qué pueden y qué no pueden hacer, qué riesgos tienen para los datos y los derechos de las personas, y en qué contextos no deben usarse. Y que eso está documentado.

Los cuatro niveles de riesgo: qué tienes que hacer en cada uno

El Reglamento clasifica todos los sistemas de IA en cuatro niveles. Tu obligación depende de en qué nivel esté cada herramienta que usas. El primer paso es saber dónde estás.

Riesgo inaceptable — parar inmediatamente

Son sistemas prohibidos desde el 2 de febrero de 2025. Si los usas, debes dejar de hacerlo sin excepción. Incluyen sistemas de puntuación social de personas, reconocimiento facial en tiempo real en espacios públicos, sistemas que exploten vulnerabilidades de grupos vulnerables, inferencia de emociones en entornos laborales o educativos, y clasificación biométrica de características sensibles.

La mayoría de pymes no usa estos sistemas directamente, pero es importante comprobarlo. Algunas herramientas de análisis de videoentrevistas o de monitorización de empleados pueden caer en esta categoría.

Riesgo alto — tomar acción antes de agosto de 2026

Son sistemas cuyas obligaciones completas entran en vigor el 2 de agosto de 2026, pero que requieren acción ahora para estar preparados. Los más relevantes para pymes son los sistemas de selección de personal con IA (cualquier ATS que preseleccione CVs automáticamente), los sistemas de scoring crediticio, y los sistemas de acceso a servicios esenciales.

Si tu empresa usa un sistema de selección de personal con IA que filtra o puntúa candidatos automáticamente, estás en riesgo alto. Las obligaciones en este nivel incluyen documentación técnica, registro de actividades, supervisión humana obligatoria y evaluación de conformidad.

Riesgo limitado — transparencia obligatoria

Chatbots de atención al cliente, asistentes virtuales, generadores de contenido visible al público. La obligación principal en este nivel es informar al usuario de que está interactuando con un sistema de IA. Si tienes un chatbot en tu web, debe identificarse como tal.

Riesgo mínimo — cumplir el artículo 4 y documentar

La mayoría de usos habituales en pymes entran aquí: usar ChatGPT para redactar textos, Copilot para resumir documentos, herramientas de traducción automática o filtros de spam. No hay obligaciones adicionales más allá de la alfabetización del artículo 4, pero eso ya es obligatorio desde febrero de 2025 y debe estar documentado.

Los cuatro pasos mínimos que toda pyme debe completar

Con independencia del sector y del tamaño, estos son los pasos que cualquier organización que use IA debe tener completados antes del 2 de agosto de 2026. Cuanto antes se hagan, mejor. El artículo 4 ya es exigible.

Paso 1 — Inventario de sistemas de IA

Haz una lista de todas las herramientas de IA que usa tu empresa. No solo las contratadas institucionalmente, también las que usan tus empleados individualmente aunque no estén oficialmente adoptadas. ChatGPT de uso personal en el trabajo cuenta. Copilot integrado en Microsoft 365 cuenta. El software de contabilidad con funciones de IA cuenta.

El inventario debe recoger el nombre de la herramienta, quién la usa, para qué, con qué datos, y si hay supervisión humana de sus resultados.

Paso 2 — Triaje de riesgos

Con el inventario en mano, clasifica cada herramienta en los cuatro niveles del Reglamento. Para la mayoría de pymes, la gran mayoría de sus herramientas estarán en riesgo mínimo o limitado. Pero es imprescindible identificar si hay alguna en riesgo alto o inaceptable para actuar en consecuencia.

Las herramientas de selección de personal con IA son el caso más frecuente de riesgo alto en pymes que no lo saben.

Paso 3 — Política de uso aceptable de IA

Documenta qué herramientas de IA están autorizadas en tu empresa, en qué contextos, con qué restricciones y con qué nivel de supervisión humana obligatoria. Esto no tiene que ser un documento extenso. Tiene que ser claro, accesible para todos los empleados y actualizable cuando entren nuevas herramientas.

Aspectos críticos que debe cubrir: qué datos no pueden introducirse en sistemas de IA externos (datos personales de clientes, información confidencial, datos de empleados), qué usos requieren revisión humana antes de usar el resultado, y qué herramientas están expresamente prohibidas.

Paso 4 — Formación documentada

Forma a todo el personal que use herramientas de IA. La formación debe ser proporcional al nivel de uso, no es lo mismo quien usa ChatGPT esporádicamente para redactar que quien usa un sistema de análisis de datos con IA para tomar decisiones de negocio.

Lo más importante: documenta quién recibió formación, cuándo, sobre qué contenidos y con qué resultado. Esa documentación es la evidencia que necesitas ante una inspección de la AESIA.

¿Necesitas ayuda para completar estos cuatro pasos? Lexlon te guía en el proceso y genera la documentación que necesitas. → Informate aquí

Las sanciones: proporcionales pero contundentes

El régimen sancionador completo entra en vigor el 2 de agosto de 2026. Las cuantías máximas son las siguientes.

Hasta 35 millones de euros o el 7% de la facturación mundial anual por incumplir las prohibiciones del artículo 5 (sistemas de riesgo inaceptable).

Hasta 15 millones de euros o el 3% de la facturación mundial anual por incumplir otras obligaciones del Reglamento, incluyendo la gestión de riesgos, la documentación técnica y la supervisión humana.

Hasta 7,5 millones de euros o el 1% de la facturación mundial anual por facilitar información inexacta o engañosa a las autoridades.

Para pymes, las sanciones se aplican con el principio de proporcionalidad — la multa es el menor entre la cuantía fija y el porcentaje de facturación. Pero incluso el 3% de la facturación de una pyme mediana puede ser una cantidad muy significativa.

Un dato que muchas empresas desconocen: las multas del Reglamento de IA y las del RGPD son acumulativas, no alternativas. Si un incumplimiento del Reglamento de IA conlleva también una infracción de protección de datos, puedes recibir ambas sanciones simultáneamente.

Lo que no debes esperar para hacer

Hay dos errores frecuentes en pymes frente al Reglamento de IA.

El primero es esperar a agosto de 2026 para empezar. El artículo 4 es exigible desde febrero de 2025. La AESIA puede inspeccionar lo que tengas hecho hasta la fecha de cualquier inspección, no solo a partir de agosto de 2026. La distancia entre no tener nada y tener documentación razonable se cubre en pocas semanas. La distancia entre no tener nada y una sanción del 3% la cubre la AESIA en una mañana.

El segundo es asumir que como usas herramientas de terceros (ChatGPT, Copilot) el cumplimiento es responsabilidad del proveedor. No lo es. Tu empresa tiene obligaciones propias como responsable del despliegue que son independientes de las del proveedor.

Cómo puede ayudarte Lexlon

Lexlon ha desarrollado una solución específica para que pymes y profesionales puedan completar los pasos de cumplimiento del Reglamento de IA de forma sencilla, asequible y con la documentación lista para acreditar ante la AESIA.

El servicio incluye guía para completar el inventario de sistemas de IA, triaje de riesgos de cada herramienta, plantilla de política de uso aceptable personalizable, programa de formación básica documentada para el personal, y certificado de conformidad que acredita las medidas adoptadas.

Sin necesidad de contratar a un despacho de abogados. Sin dedicar semanas al proceso. Desde 41 €/mes. También disponemos de una solución para los obligados a implementar el canal de denuncias, como las agencias inmobiliarias o las corredurías de seguros.

Empieza tu cumplimiento hoy → Contrata el servicio aquí

Preguntas frecuentes

¿Si solo usamos ChatGPT para redactar textos estamos obligados? Sí. Cualquier uso profesional de un sistema de IA convierte a tu empresa en responsable del despliegue. El uso de ChatGPT para redactar es riesgo mínimo, pero la obligación de alfabetización del artículo 4 aplica igualmente y debe estar documentada desde febrero de 2025.

¿Las sanciones se aplican ya o solo desde agosto de 2026? El régimen sancionador completo entra en vigor el 2 de agosto de 2026. Pero la obligación de alfabetización del artículo 4 es exigible desde el 2 de febrero de 2025, y la AESIA ya puede inspeccionar su cumplimiento y sancionar desde agosto de 2026 como ya ocurre con el canal de denuncias

¿Qué pasa si usamos un ATS con IA para selección de personal? Probablemente estás en riesgo alto según el Anexo III del Reglamento. Tienes hasta el 2 de agosto de 2026 para cumplir con las obligaciones específicas de ese nivel, que incluyen documentación técnica, evaluación de conformidad y supervisión humana obligatoria de las decisiones.

¿La formación tiene que ser presencial o vale online? Puede ser en cualquier formato. Lo importante es que sea proporcional al nivel de uso de IA de cada empleado y que quede documentada, quién, cuándo y sobre qué contenidos. En Lexlon nos encargamos de todo.

¿Existe alguna excepción para microempresas o autónomos? El Reglamento no establece exenciones por tamaño para la obligación de alfabetización del artículo 4. El principio de proporcionalidad sí se aplica. Una microempresa necesita medidas proporcionales a su escala, pero la obligación existe igualmente. Por ejemplo, en este artículo puedes leer información relacionada con cómo aplica a las notarías.

No esperes a agosto de 2026. El artículo 4 ya está en vigor y la AESIA ya puede inspeccionar.

→ Contrata tu solución ahora aquí y en Lexlon te ayudamos

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Lexlon es una herramienta de software. Cada organización es responsable de verificar que su implementación cumple con todos los requisitos legales aplicables a su sector y circunstancias particulares.