A quién afecta
A casi cualquier empresa que toque la IA, desde usar ChatGPT en el trabajo hasta vender un producto con IA dentro. Lo que cambia no es si aplica, sino cuánto.
Ley de IA de la UE
Una ley europea sobre cómo se puede construir y usar la IA, en vigor desde agosto de 2024 y con aplicación escalonada hasta 2028. Si diriges una pequeña empresa, tus obligaciones casi con seguridad son modestas y manejables. Aquí tienes qué es, a quién afecta y qué hacer de verdad.
Qué es
Una única norma europea que regula cómo se construye, vende y usa la IA. La ordena según lo arriesgado que sea el uso, no según la tecnología, así que la mayoría de herramientas tienen obligaciones ligeras o ninguna.
A casi cualquier empresa que toque la IA, desde usar ChatGPT en el trabajo hasta vender un producto con IA dentro. Lo que cambia no es si aplica, sino cuánto.
Como el RGPD: una ley única en toda la UE que también alcanza a empresas de fuera cuando sirven a personas dentro de ella.
Los cuatro niveles de riesgo
El reglamento ordena la IA en cuatro niveles. La mayoría de herramientas del día a día están en los dos de abajo.
Un conjunto definido de usos sensibles, como la IA que criba candidaturas de empleo o evalúa la solvencia. Hay obligaciones reales, pero alcanzan a una minoría de empresas y no son exigibles hasta diciembre de 2027 (pendiente de publicación oficial).
Cribar candidaturasEvaluar solvenciaQué tienes que hacer
Para la mayoría de las pequeñas empresas que solo usan herramientas de IA, esto es una lista corta y alcanzable, no un programa de cumplimiento.
Cómo está la situación
Actualizado a julio de 2026
El Reglamento de IA entra en vigor
El reglamento se convierte en ley de la UE. Aquí empieza la cuenta atrás de cada bloque de obligaciones.
Se aplican las prácticas de IA prohibidas y el deber de alfabetización en IA
Una lista corta de usos de IA queda prohibida por completo, y toda organización cuyo personal use IA en el trabajo debe mantenerlo con una comprensión básica de cómo funciona y dónde falla.
Se aplican las reglas para modelos de IA de propósito general, más la gobernanza y las sanciones
Empiezan las obligaciones para los modelos de propósito general que están detrás de herramientas como ChatGPT, junto con los organismos de la UE que supervisan el reglamento y el marco de sanciones.
Se aplican los deberes de transparencia (chatbots y contenido generado por IA)
Hay que avisar a las personas cuando interactúan con IA o ven contenido generado por IA. Confirmado, y no aplazado por la reforma del Ómnibus Digital.
Se aplican los sistemas de alto riesgo autónomos (las ocho categorías de alto riesgo)
Las reglas centrales para la IA de alto riesgo, como las herramientas de contratación o de scoring crediticio vendidas por separado, se aplican desde esta fecha. Movida desde la fecha original del 2 de agosto de 2026 por la reforma, y pendiente de publicación oficial.
Se aplica la IA de alto riesgo integrada en productos ya regulados
La IA de alto riesgo integrada en productos que ya tienen reglas de seguridad de la UE, como los productos sanitarios o la maquinaria, se aplica desde esta fecha. Pendiente de publicación oficial.
El paquete Ómnibus Digital retrasa solo las fechas de alto riesgo (a diciembre de 2027 y agosto de 2028). Las obligaciones de transparencia de agosto de 2026 no se mueven, pase lo que pase.
En contexto
Casi con seguridad, de alguna forma. Si tu equipo usa herramientas de IA en el trabajo, o construyes o vendes algo con IA dentro, y tienes clientes o usuarios en la UE, el reglamento se aplica. Para la mayoría de las pequeñas empresas que solo usan herramientas de IA, las obligaciones son ligeras. El diagnóstico te dice exactamente cuáles te tocan.
Los deberes que ya están vigentes, como la alfabetización en IA, son obligaciones legales reales aunque hasta ahora no se hayan impuesto multas por ellos. Lo más cercano en el tiempo para la mayoría de las pymes son los deberes de transparencia desde agosto de 2026, y para unas pocas, las reglas de alto riesgo más adelante. Hacer un poco ahora, como una nota interna breve de uso de IA, sale mucho más barato que ponerse al día bajo presión.
La forma es parecida: una única ley en toda la UE, basada en el riesgo, que también alcanza a empresas de fuera de la UE que sirven a personas dentro de ella. Pero el Reglamento de IA trata de cómo se construyen y usan los sistemas de IA, no de los datos personales como tales, y sus obligaciones escalan según lo arriesgado que sea el uso.
Puede aplicarse. El reglamento te alcanza si pones un sistema de IA en el mercado de la UE, o si la salida de tu IA la usan personas en la UE, estés donde estés. Una empresa del Reino Unido o de EE. UU. con clientes en la UE suele estar dentro de su alcance. Si no tienes ningún vínculo con la UE, trátalo como buena práctica y no como un deber legal.
Para una pequeña empresa que solo usa herramientas de IA, los pasos centrales son cuestión de horas: escribir una nota interna breve de uso de IA y comprobar que cualquier IA de cara al cliente esté bien etiquetada. Construir IA de alto riesgo es un proyecto mayor, pero eso afecta a muy pocas pymes. El diagnóstico te da una lista realista y personal.
Hablemos
Cuéntanos qué necesitas y te diremos exactamente cómo podemos ayudar. Si no encaja, te ahorramos el tiempo.
Esta página es información general, no asesoramiento legal. Para una respuesta específica de tu empresa, haz el diagnóstico o reserva una llamada.