AI Act y PYME: lo mínimo que tu pequeña empresa debe hacer en 2026
Actualizado abril 2026 · AI Compliance · Autor Matteo Mirabelli
España es un país de PYMEs: más del 99% del tejido empresarial. Cuando los manuales sobre AI Act se redactan pensando en multinacionales con equipos legales, la PYME española queda con dos lecturas igualmente erróneas: o bien "esto no aplica a mí", o bien "necesito un programa de cumplimiento de seis cifras". Ninguna de las dos es correcta. El AI Act aplica a la PYME, en versión proporcional, y el cumplimiento mínimo razonable se construye con presupuesto y atención modestos. Esta guía describe ese mínimo.
Aviso: este contenido es informativo y no constituye asesoramiento legal. Consulte con su asesor jurídico para casos específicos.
Qué dice exactamente el AI Act sobre PYMEs
El Reglamento Europeo 2024/1689 (AI Act) menciona explícitamente a PYMEs en varios artículos. Los principios:
Aplicación proporcionada. Las obligaciones se aplican según el tamaño y la complejidad del sistema. Una PYME con un IA SDR no tiene la misma carga que un banco con sistema de calificación crediticia automatizada.
Sandbox regulatorio facilitado. AESIA opera el sandbox español del AI Act con condiciones favorables para PYMEs y startups.
Sanciones ajustadas. El régimen sancionador permite ajustar importes en función del tamaño.
Apoyo institucional. AESIA y la Comisión Europea publican guías específicas para PYMEs.
Pero en ningún caso el AI Act exime a la PYME. La diferencia es de proporcionalidad, no de aplicabilidad.
Inventario: qué sistemas IA tiene una PYME típica
Antes de pensar en cumplimiento, conviene mapear. Una PYME española de 10-50 empleados en 2026 puede tener:
Sistema 1: IA SDR o agente comercial IA. Para prospección outbound, calificación inbound, secuencias multicanal. Riesgo limitado.
Sistema 2: IA generativa para marketing y contenido. Generación de posts, copys, descripciones de producto. Riesgo limitado.
Sistema 3: chatbot de atención al cliente. En sitio web o WhatsApp Business. Riesgo limitado.
Sistema 4: ATS con filtrado automatizado de candidatos. Si lo usa para RRHH y filtra automáticamente. Anexo III. Alto riesgo.
Sistema 5: copiloto IA en pila ofimática. Microsoft Copilot, Gemini for Workspace. Riesgo mínimo o limitado según uso.
Sistema 6: IA en analítica financiera o calificación de proveedores. Según uso, riesgo limitado o alto.
La mayoría de PYMEs tienen 2-4 sistemas. Si ninguno cae en Anexo III, la carga es manejable. Si alguno cae, exige preparación específica.
Lo mínimo razonable: ocho elementos
Para una PYME española en 2026 con sistemas de riesgo limitado, lo mínimo razonable es:
1. Inventario de sistemas IA. Una hoja de cálculo con cada sistema, finalidad, datos que procesa, proveedor, clasificación de riesgo. Se mantiene viva.
2. Política IA en una página. Principios (qué hace, qué no hace), responsable interno, mecanismo de transparencia, mecanismo de gestión de incidentes. Una página, firmada por el fundador o director general.
3. Designación de responsable de IA. Habitualmente el fundador, director general, director comercial o CTO. Una persona identificada, con responsabilidad asignada por escrito.
4. DPA con cada proveedor IA. Contrato de encargado de tratamiento firmado, con identificación de subencargados, finalidades y transferencias internacionales.
5. Análisis de ponderación de interés legítimo. Una página por cada caso de uso que trate datos personales B2B con esa base. Documento archivado.
6. Mecanismo de transparencia accesible. Cuando un cliente o destinatario pregunta si interactúa con IA, hay respuesta clara y rápida.
7. Audit trail funcional. El proveedor genera registros automatizados. La PYME asegura que se conservan y son exportables.
8. Formación básica de empleados. Alfabetización IA es obligatoria desde febrero 2025. Una sesión de 60-90 minutos para el equipo, con material archivado.
Estos ocho elementos cubren la mayoría de obligaciones AI Act + RGPD aplicables a una PYME estándar.
Si hay sistema Anexo III: alfabetización adicional
Si la PYME tiene un sistema en Anexo III (típicamente filtrado automatizado de candidatos en RRHH), el régimen cambia significativamente. Obligaciones adicionales:
Evaluación de impacto sobre derechos fundamentales (EFFD) antes del despliegue.
Documentación técnica detallada del sistema (Anexo IV AI Act).
Supervisión humana efectiva sobre cada decisión.
Información reforzada a las personas afectadas.
Sistema de gestión de calidad documentado.
Para una PYME, esto suele significar que la alternativa es no usar el sistema en modo automatizado pleno o usar un proveedor que asuma la mayor parte de la carga. La conversación con el proveedor debe explicitar quién aporta qué documentación.
AESIA y la PYME: qué esperar
AESIA, autoridad supervisora con sede en A Coruña, no realiza inspecciones rutinarias a PYMEs sin causa. Lo más habitual es:
Tras reclamación de cliente, empleado o destinatario. El AESIA solicita información sobre el sistema. Sin documentación previa, la respuesta es difícil.
Tras reclamación AEPD que active componente IA. Coordinación entre autoridades.
Sandbox regulatorio. Si la PYME participa en sandbox, supervisión más cercana pero también facilitada.
Inspección sectorial. Si AESIA realiza campaña sobre un sector concreto y la PYME está en él.
La preparación de la PYME no es para "estar lista para inspección permanente"; es para "poder responder en plazo razonable cuando llegue la solicitud".
AI Act + ISO 42001 en la práctica
Para PYME, la certificación ISO 42001 completa rara vez es proporcionada por coste y carga organizativa. La certificación AENOR cuesta 8.000-30.000 euros según alcance, requiere documentación amplia y exige auditorías recurrentes. Para una PYME de 15 empleados con tres sistemas IA de riesgo limitado, esto es desproporcionado.
Lo razonable: adoptar el espíritu de ISO 42001 sin certificación formal. Política, roles, evaluaciones, registros, ciclos de revisión, en versión proporcional. Esto satisface el espíritu del AI Act.
Si la PYME aspira a vender a sector público o a clientes corporativos exigentes, la certificación se vuelve activo comercial diferenciador. El cálculo coste/beneficio cambia.
ENS aplica si la PYME vende a sector público. Las medidas ENS del nivel aplicable se trasladan al sistema. El nivel BÁSICO de ENS es alcanzable para una PYME con esfuerzo razonable; los niveles MEDIO y ALTO requieren mayor inversión.
Aviso: este contenido es informativo y no constituye asesoramiento legal. Consulte con su asesor jurídico para casos específicos.
Costes realistas para PYME
Año uno:
- Asesoría legal puntual (DPA, política IA, análisis de ponderación): 1.500-4.000 euros.
- Formación equipo: 500-1.500 euros (interna o externa).
- Tiempo interno fundador/responsable: 40-80 horas.
- Total año uno: 2.000-6.000 euros más tiempo interno.
Recurrente anual:
- Revisión y actualización: 800-2.500 euros.
- Formación refresco: 300-800 euros.
- Total recurrente: 1.000-3.500 euros.
Estos costes son alcanzables para una PYME que factura más de 200.000 euros anuales y opera 2-4 sistemas IA de riesgo limitado.
Errores frecuentes en PYMEs
"Esto no me aplica." Aplica. Aunque sea en versión proporcional.
"Lo veré después." El régimen sancionador está activo. Una reclamación basta para activar la cuenta.
"Mi proveedor cumple, no necesito hacer nada." El desplegador tiene obligaciones propias inalienables.
Confundir RGPD con AI Act. Cumplir uno no exime del otro.
Olvidar formación. Alfabetización IA es obligatoria.
Ignorar el cambio de categoría si el sistema evoluciona. Un IA SDR que empieza recomendando puede acabar tomando decisiones automatizadas.
Para profundizar consulte AI Act España: guía de cumplimiento, checklist de cumplimiento IA 2026 España, AESIA: la Agencia Española de Supervisión de la IA y ISO 42001 PYME España.
Plantilla mínima de política IA para PYME
Una página, firmada por el fundador:
Empresa. [Nombre], CIF [X], dirección [Y].
Sistemas IA en operación. Lista breve.
Principios. Cumplimos AI Act, RGPD, LSSI. Transparencia hacia destinatarios, supervisión humana proporcional, respeto a derechos.
Responsable. [Nombre, cargo, contacto].
Mecanismo de transparencia. Cuando un destinatario pregunta si interactúa con IA, respondemos en plazo razonable.
Mecanismo de incidencias. Reclamaciones a [contacto]. Plazo de respuesta 30 días.
Revisión. Anual, o tras cambios significativos.
Fecha y firma.
Esta plantilla, adaptada con asesoramiento legal, es punto de partida razonable para PYME estándar.
FAQ
¿La PYME está exenta del AI Act? No. Aplicación proporcional, no exención.
¿Cuánto cuesta cumplir como PYME? 2.000-6.000 euros año uno. 1.000-3.500 euros recurrentes.
¿ISO 42001 es necesaria? No para cumplir AI Act mínimo. Sí como activo comercial si aplica.
¿Qué pasa si compramos a proveedor no UE? El desplegador (la PYME) hereda obligaciones propias. Verificar transferencias internacionales y DPA.
¿La formación de empleados es obligatoria? Sí, alfabetización IA desde febrero 2025.
¿Y para licitaciones públicas? Cumplimiento es exigible más allá del mínimo. Consulte PLACSP y licitaciones públicas con IA.
Conclusión
El AI Act aplica a las PYMEs españolas en 2026, en versión proporcional. El cumplimiento mínimo razonable se construye con ocho elementos básicos, presupuesto modesto y atención disciplinada del fundador. Knowlee.ai como plataforma de IA Workforce europea, conforme AI Act + ISO 42001 by-design, transfiere la complejidad técnica al proveedor y ofrece a las PYMEs españolas el marco para cumplir sin reinventar la rueda, lista para escalar a Latinoamérica.