La Ley de IA de la UE es el Reglamento (UE) 2024/1689, la primera norma del mundo que regula la inteligencia artificial de forma integral. Si tu pyme solo usa herramientas de IA que compra a un proveedor (un chatbot, un agente de voz, una herramienta de marketing) y no las desarrolla ni las revende, tus obligaciones son pocas y de bajo coste: usar el sistema según sus instrucciones, asegurar una formación básica de tu equipo y avisar a las personas cuando interactúan con una IA. No tienes que certificar, auditar ni documentar nada de eso.
El ruido alrededor de esta norma proviene de las obligaciones que recaen sobre quien fabrica sistemas de IA, sobre todo los de alto riesgo. Ese papel rara vez lo ocupa una pyme española de servicios.
Este artículo separa lo que de verdad te afecta de lo que no. Verás a quién aplica el Reglamento, su calendario por fases, las categorías de riesgo con ejemplos cotidianos y un checklist de lo que conviene hacer ya. Para casos concretos —y la norma tiene matices— lo prudente es contar con asesoría especializada; aquí te damos el mapa para llegar a esa conversación sabiendo de qué se habla.
Qué es el Reglamento de IA de la UE y a quién aplica
El Reglamento (UE) 2024/1689, conocido como AI Act o Ley de IA, es la norma europea que regula el desarrollo y el uso de sistemas de inteligencia artificial en la Unión Europea. Entró en vigor el 1 de agosto de 2024 y, al ser un reglamento, se aplica de forma directa en España sin necesidad de una ley nacional de trasposición.
Proveedor frente a responsable del despliegue
La diferencia más importante para una pyme es esta: el Reglamento distingue entre el proveedor (quien desarrolla un sistema de IA y lo pone en el mercado) y el responsable del despliegue (quien lo utiliza bajo su propia autoridad en el marco de su actividad profesional).
Una clínica que usa un agente de voz para coger llamadas, un restaurante que usa un chatbot de reservas o un taller que usa una herramienta de IA para enviar avisos son responsables del despliegue. No proveedores. La gran mayoría de obligaciones técnicas del Reglamento —documentación, evaluación de la conformidad, marcado CE, sistema de gestión de riesgos— recaen sobre el proveedor, no sobre tu negocio.
Aplica por el mercado europeo, no solo por la sede
El Reglamento se aplica a los sistemas de IA que se comercializan o se usan en la Unión Europea, con independencia de dónde tenga su sede el proveedor. Si contratas una herramienta de IA estadounidense para tu negocio en España, esa herramienta queda dentro del ámbito del Reglamento. Eso es una ventaja para ti: parte de la carga de cumplimiento la asume el proveedor.
IDEA CLAVE
Si tu pyme usa IA pero no la fabrica, eres responsable del despliegue. Tu lista de obligaciones es corta. La lista larga es la del proveedor que te vende la herramienta.
El calendario de aplicación por fases
El Reglamento no se aplicó de golpe. Sus obligaciones se activan de forma escalonada para dar tiempo de adaptación a empresas y administraciones. Estas son las fechas que han marcado el calendario, según el propio texto del Reglamento y la información publicada por la Comisión Europea.
| Fecha | Qué se activa |
|---|---|
| 1 agosto 2024 | Entrada en vigor del Reglamento |
| 2 febrero 2025 | Prohibición de prácticas de IA de riesgo inaceptable y obligación de alfabetización en IA |
| 2 agosto 2025 | Normas para modelos de IA de uso general y gobernanza |
| 2 agosto 2026 | Obligaciones de transparencia del artículo 50 (chatbots, agentes de voz, contenido generado) |
| En revisión | Plena aplicación de las obligaciones para sistemas de IA de alto riesgo |
Una aclaración importante sobre la última fila. El calendario original fijaba el grueso de las obligaciones de los sistemas de alto riesgo para agosto de 2026. En 2026 las instituciones europeas han trabajado en un paquete de simplificación —el llamado Digital Omnibus— que propone aplazar esas obligaciones. El Consejo y el Parlamento europeos alcanzaron un acuerdo político el 7 de mayo de 2026 que retrasaría la aplicación de los sistemas de alto riesgo del anexo III hasta el 2 de diciembre de 2027 (y hasta agosto de 2028 los integrados en productos regulados). A la fecha de este artículo ese acuerdo es provisional y todavía tiene que completar su tramitación formal antes de ser ley.
Conclusión práctica: el calendario de los sistemas de alto riesgo está en movimiento. Antes de tomar decisiones que dependan de una fecha exacta, conviene consultar la información oficial actualizada. Para una pyme que solo usa IA de bajo riesgo, esta incertidumbre es irrelevante: las obligaciones que te afectan no dependen de ese aplazamiento.
Las categorías de riesgo, explicadas con ejemplos
El Reglamento clasifica los sistemas de IA según el riesgo que suponen para la salud, la seguridad y los derechos de las personas. A más riesgo, más obligaciones. Son cuatro niveles.
Riesgo inaceptable: prohibido
Un grupo reducido de prácticas está directamente prohibido desde febrero de 2025. Incluye, por ejemplo, los sistemas de puntuación social de personas por parte de autoridades, la manipulación subliminal del comportamiento o el reconocimiento de emociones en el puesto de trabajo y en centros educativos, salvo excepciones tasadas.
Una pyme normal no se acerca a esta categoría. Ninguna herramienta comercial de atención al cliente, reservas o marketing entra aquí.
Alto riesgo: obligaciones exigentes
Son sistemas que, sin estar prohibidos, pueden afectar de forma significativa a la vida de las personas. El anexo del Reglamento incluye, entre otros, la IA usada para filtrar candidatos en un proceso de selección, para evaluar la solvencia crediticia, para decidir el acceso a servicios esenciales o en infraestructuras críticas.
Aquí conviene un matiz para pymes: si usas una herramienta de IA para cribar currículums en tus contrataciones, podrías estar usando un sistema de alto riesgo. Eso no te convierte en su fabricante, pero sí te añade algunas obligaciones como responsable del despliegue (por ejemplo, supervisión humana y uso conforme a las instrucciones). Es uno de los pocos casos en los que una pyme de servicios toca el alto riesgo, y motivo suficiente para preguntar a tu proveedor de software cómo clasifica su herramienta.
Riesgo limitado: solo transparencia
Aquí cae la inmensa mayoría de la IA que usa una pyme. Un chatbot de atención al cliente, un agente de voz que coge llamadas y agenda citas, un asistente que responde dudas en WhatsApp. No deciden sobre derechos fundamentales: solo conversan y gestionan.
Su única obligación específica es la transparencia: la persona debe saber que está interactuando con una IA. Lo vemos en detalle en la sección siguiente.
Riesgo mínimo: sin obligaciones específicas
Filtros de spam, recomendadores de productos, herramientas de IA en videojuegos. El Reglamento no impone obligaciones específicas a esta categoría, que abarca la mayor parte de los sistemas de IA del mercado.
Pregúntate qué hace tu herramienta de IA. ¿Conversa con clientes y gestiona citas o reservas? Riesgo limitado: solo transparencia. ¿Decide a quién contratas o a quién das un crédito? Probablemente alto riesgo: revisa las obligaciones con tu proveedor y, si hace falta, con un asesor. ¿Filtra spam o recomienda productos? Riesgo mínimo: sin obligaciones específicas.
Qué obligaciones tiene una pyme que solo usa IA
Reunidas en un sitio, las obligaciones realistas de una pyme que es responsable del despliegue de IA de bajo riesgo son tres, y ninguna requiere un gran presupuesto.
Usar el sistema conforme a sus instrucciones. El proveedor te entrega unas indicaciones de uso. Cumplirlas es tu obligación básica. Si usas un agente de voz para atención sanitaria, por ejemplo, no lo configures para dar diagnósticos si el proveedor lo desaconseja.
Garantizar un nivel básico de alfabetización en IA. Desde febrero de 2025, el Reglamento pide que las personas que operan sistemas de IA tengan competencias suficientes para entender lo que hacen. Para una pyme esto no es un máster: es una formación breve al equipo sobre qué hace la herramienta, qué limitaciones tiene y cuándo derivar a una persona.
Cumplir la transparencia cuando el sistema interactúa con personas. Si tu IA habla con clientes, tienes que avisar de que es una IA. Lo desarrollamos en la sección siguiente.
Lo que no tienes que hacer como simple usuario de IA de bajo riesgo: redactar documentación técnica del sistema, someterlo a una evaluación de la conformidad, registrarlo en bases de datos europeas o realizar auditorías de algoritmos. Eso es trabajo del proveedor. Si alguien te ofrece un servicio caro para "certificar tu cumplimiento de la Ley de IA" y tu uso es de bajo riesgo, mira con lupa qué te está vendiendo de verdad.
Conviene además no confundir esta norma con el RGPD. Si tu herramienta de IA trata datos personales —y casi todas lo hacen—, el RGPD sigue aplicándose en paralelo. En sectores sensibles, como el sanitario, ambas normas se solapan; lo tratamos en nuestra guía sobre RGPD y agentes de IA en clínicas.
¿Quieres usar IA sin quebraderos de cabeza normativos?
En Gravitas AI implantamos automatizaciones y agentes pensados desde el diseño para ser transparentes y fáciles de operar. Te explicamos qué papel ocupa tu negocio y qué hay que tener en cuenta.
Ver automatizaciones e integraciones →Transparencia: avisar de que el cliente habla con una IA
El artículo 50 del Reglamento establece las obligaciones de transparencia. Es la parte que más directamente afecta a una pyme que usa IA conversacional, y su aplicación está prevista para agosto de 2026.
Qué exige exactamente
Cuando una persona interactúa con un sistema de IA, hay que informarle de ello, salvo que resulte evidente por el contexto. En la práctica, tu chatbot o tu agente de voz debe identificarse como asistente automatizado al comienzo de la conversación.
No es un trámite burocrático. Es una frase. Un agente de voz puede empezar con "Le atiende el asistente virtual de la clínica"; un chatbot puede mostrar un aviso breve al abrirse. Bien hecho, además, genera confianza: la gente no se siente engañada y sabe a qué atenerse.
Contenido generado por IA
El artículo 50 también pide que el contenido generado de forma sintética —imágenes, audio o vídeo creados por IA, y los deepfakes en particular— sea identificable como tal. Para una pyme que usa IA para textos de marketing o atención al cliente esto rara vez es un problema serio, pero si publicas imágenes o vídeos generados por IA conviene etiquetarlos.
Cómo prepararse sin estrés
Si ya usas un chatbot o un agente de voz, revisa hoy mismo si se presenta como una IA. Si no lo hace, es un cambio de una línea de configuración. Un proveedor serio te lo deja resuelto de fábrica: nuestro agente de voz Recepción 24/7 se identifica como asistente virtual al inicio de cada llamada, precisamente porque la transparencia es buena práctica y, además, lo razonable de cara a la norma.
La transparencia no es una carga: es lo que la mayoría de tus clientes ya espera. Avisar de que hablan con una IA elimina la sensación de engaño y deja la conversación en terreno honesto.
Qué hacer ahora y qué no es urgente
Para cerrar, una lista práctica separando lo que conviene hacer en las próximas semanas de lo que puede esperar.
Conviene hacerlo ya
- Inventaria tu IA. Anota qué herramientas con IA usa tu negocio: chatbot, agente de voz, herramientas de marketing, asistentes de gestión. No puedes valorar lo que no tienes listado.
- Clasifica cada una por riesgo. Para la mayoría será riesgo limitado o mínimo. Marca las que podrían ser de alto riesgo (selección de personal, decisiones de crédito) para revisarlas con calma.
- Revisa la transparencia. Comprueba que tus sistemas que hablan con clientes se identifican como IA. Si no, corrígelo.
- Forma a tu equipo en lo básico. Una sesión corta sobre qué hace cada herramienta y cuándo escalar a una persona cubre la alfabetización en IA para una pyme.
No es urgente para una pyme usuaria
- Contratar auditorías de algoritmos o certificaciones costosas si tu uso es de bajo riesgo.
- Redactar documentación técnica de sistemas que no has desarrollado tú.
- Tomar decisiones precipitadas basadas en fechas del calendario de alto riesgo, que todavía está en revisión.
Si tu negocio sí desarrolla software con IA, lo revende o usa IA en decisiones de alto riesgo, el cuadro cambia y ahí sí merece la pena una consulta jurídica específica. Para el resto —la mayoría de pymes de servicios— la Ley de IA es una norma sensata que se cumple con orden y sentido común.
Preguntas frecuentes
¿La Ley de IA de la UE afecta a una pyme que solo usa herramientas de IA?
Sí, pero de forma limitada. Si tu pyme solo usa IA comprada a un proveedor (un chatbot, un agente de voz, una herramienta de marketing), eres un "responsable del despliegue" y no un "proveedor". Tus obligaciones son mucho más ligeras: básicamente usar el sistema según las instrucciones, garantizar formación básica de tu equipo y, si el sistema interactúa con personas, avisar de que están hablando con una IA. No tienes que documentar, certificar ni auditar el sistema: eso le corresponde al proveedor.
¿Cuándo entra en vigor la Ley de IA de la UE?
El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024 y se aplica por fases. Las prohibiciones de prácticas de riesgo inaceptable y la obligación de alfabetización en IA se aplican desde el 2 de febrero de 2025. Las normas para modelos de IA de uso general se aplican desde el 2 de agosto de 2025. Las obligaciones de transparencia del artículo 50, que afectan a chatbots y agentes de voz, están previstas para el 2 de agosto de 2026. El calendario de los sistemas de alto riesgo está en revisión legislativa, así que conviene consultar fuentes oficiales actualizadas.
¿Un chatbot o un agente de voz son sistemas de IA de alto riesgo?
Por regla general, no. Un chatbot de atención al cliente o un agente de voz que coge llamadas y agenda citas se considera un sistema de riesgo limitado: no decide sobre derechos fundamentales de las personas. Su única obligación específica es la transparencia: informar al interlocutor de que está hablando con una IA. Los sistemas de alto riesgo son otros, como los que filtran candidatos en un proceso de selección o evalúan la solvencia para conceder un crédito.
¿Tengo que avisar a mis clientes de que hablan con una inteligencia artificial?
Sí. El artículo 50 del Reglamento exige que, cuando una persona interactúa con un sistema de IA, se le informe de ello salvo que sea evidente por el contexto. En la práctica significa que tu chatbot o tu agente de voz debe identificarse como asistente automatizado al inicio de la conversación. Es una frase breve, no un trámite complejo, y conviene incorporarla desde ya.
¿Qué pasa si mi pyme no cumple la Ley de IA de la UE?
El Reglamento prevé sanciones que para los casos más graves pueden ser elevadas, aunque establece que las multas a pymes y startups deben tener en cuenta su tamaño y viabilidad económica. Para una pyme que solo usa IA de forma habitual y de bajo riesgo, el escenario realista no es una sanción millonaria, sino corregir prácticas como avisar de que se interactúa con una IA. El riesgo se gestiona con sentido común y, en casos concretos, con asesoría especializada.
¿La Ley de IA de la UE sustituye al RGPD?
No. Son dos normas distintas y complementarias. El RGPD regula el tratamiento de datos personales y sigue aplicándose con normalidad. La Ley de IA regula los sistemas de inteligencia artificial como producto, con independencia de si tratan datos personales o no. Una herramienta de IA puede tener que cumplir las dos a la vez: el RGPD por los datos que maneja y el Reglamento de IA por ser un sistema de IA.
Conclusión: tres lecturas según tu negocio
El Reglamento de IA de la UE es ambicioso, pero su carga real depende del papel que ocupe tu negocio.
Si tu pyme solo usa IA de atención, reservas o marketing: respira. Estás en riesgo limitado o mínimo. Tres tareas —inventariar tus herramientas, comprobar la transparencia y formar al equipo en lo básico— te dejan en buena posición. No necesitas certificaciones caras.
Si tu pyme usa IA para decisiones sensibles (selección de personal, concesión de crédito): tu caso roza el alto riesgo. Pide a tu proveedor cómo clasifica la herramienta, mantén supervisión humana sobre las decisiones y valora una consulta jurídica concreta.
Si tu negocio desarrolla o revende sistemas de IA: eres proveedor y la lista de obligaciones es larga. Ahí la asesoría especializada no es opcional.
En cualquier caso, este artículo es una guía divulgativa, no asesoramiento legal. La norma tiene matices y un calendario en movimiento. Si quieres incorporar IA a tu negocio con la tranquilidad de hacerlo bien, en Gravitas AI te ayudamos a automatizar con herramientas transparentes y a entender qué te corresponde como usuario.
Incorpora IA a tu negocio con buen criterio
Te ayudamos a elegir e implantar automatizaciones y agentes de IA pensados para ser transparentes y fáciles de operar, sin sustos normativos.