Skip to content
Go To Agency
Go To Agency
/Ciberseguridad
Ciberseguridad

Reglamento europeo de IA 2 de agosto 2026: qué deben saber las PYMEs españolas sobre las obligaciones GPAI

El 2 de agosto de 2026 el Reglamento de IA alcanza su aplicabilidad general y se activa el régimen sancionador, también para los modelos GPAI. Qué cambia para las PYMEs españolas: sanciones, gobernanza, conformidad y checklist práctica.

Por Robin Monteiro27 de mayo de 202611 min · 2 337 mots
AI ActPYMEComplianceEspañaGPAI
Compartir artículo
Reglamento europeo de IA 2 de agosto 2026: qué deben saber las PYMEs españolas sobre las obligaciones GPAI

El próximo 2 de agosto de 2026, el Reglamento Europeo de Inteligencia Artificial (AI Act) alcanzará su aplicabilidad general en todo el territorio de la Unión Europea, incluida España. Si usted dirige una PYME que utiliza herramientas como ChatGPT, Copilot, Gemini, Mistral o cualquier modelo de IA generativa para tareas comerciales, debe saber que las obligaciones relativas a los modelos de IA de uso general (denominadas GPAI, General-Purpose AI), que rigen para sus proveedores desde agosto de 2025 y pasan a ser sancionables a partir de agosto de 2026, afectarán directamente a su empresa, aunque usted no desarrolle modelos propios.

Las sanciones previstas son severas: hasta 35 millones de euros o el 7 % de la facturación mundial anual, la cifra que sea más elevada. Para una PYME española con una facturación de cinco millones de euros, hablamos potencialmente de 350.000 euros de multa por infracción grave. La Agencia Española de Protección de Datos (AEPD) y la futura Agencia Española de Supervisión de la IA (AESIA), con sede en La Coruña, serán las autoridades competentes para España.

En este artículo le explicamos, con un enfoque pragmático y libre de jerga jurídica innecesaria, qué cambia exactamente para las PYMEs españolas, qué debe documentar, qué plantilla de gobernanza adoptar y cómo articular su conformidad con el ya conocido Reglamento General de Protección de Datos (RGPD).

Contexto: por qué el 2 de agosto de 2026 es una fecha clave

El Reglamento (UE) 2024/1689, conocido como AI Act, entró formalmente en vigor el 1 de agosto de 2024. Su aplicación se ha escalonado en varias fases para dar tiempo a empresas y administraciones a adaptarse:

  • Fase 1 (2 de febrero de 2025): entraron en vigor las prohibiciones sobre prácticas de IA consideradas inaceptables (puntuación social, manipulación cognitiva, reconocimiento facial en tiempo real en espacios públicos con excepciones acotadas, etc.).
  • Fase 2 (2 de agosto de 2025): obligaciones para los proveedores de modelos GPAI puestos en el mercado a partir de esa fecha (documentación técnica, resumen de datos de entrenamiento, política de copyright).
  • Fase 3 (2 de agosto de 2026): aplicabilidad general del Reglamento — sistemas de alto riesgo del anexo III, obligaciones de los desplegadores, supervisión nacional — y entrada en funcionamiento del régimen sancionador completo, incluidas las multas de la Comisión a los proveedores de GPAI.
  • Fase 4 (2 de agosto de 2027): conformidad de los modelos GPAI anteriores a agosto de 2025 y obligaciones para los sistemas de IA de alto riesgo integrados en productos regulados (juguetes, dispositivos médicos, etc.).

El motivo por el que la fase del 2 de agosto de 2026 importa tanto a las PYMEs es indirecto pero contundente: aunque usted no sea proveedor de un modelo de fundación, sí es probablemente desplegador (o deployer, en la terminología del Reglamento) de uno o varios sistemas que incorporan IA generativa. Y los desplegadores tienen obligaciones propias: transparencia, supervisión humana, gestión documental y, en algunos casos, evaluación de impacto.

¿Quién es PYME según el AI Act y por qué importa?

El AI Act remite explícitamente a la Recomendación 2003/361/CE de la Comisión Europea para definir microempresas, pequeñas y medianas empresas. Es decir, los mismos umbrales que conoce de cualquier ayuda pública en España:

  • Microempresa: menos de 10 trabajadores y facturación o balance anual ≤ 2 M€.
  • Pequeña empresa: menos de 50 trabajadores y facturación o balance ≤ 10 M€.
  • Mediana empresa: menos de 250 trabajadores y facturación ≤ 50 M€ o balance ≤ 43 M€.

El Reglamento prevé medidas de simplificación específicas para las PYMEs: tarifas reducidas para la evaluación de conformidad cuando son proveedoras de sistemas de alto riesgo, acceso prioritario a entornos controlados de pruebas (regulatory sandboxes) y plantillas simplificadas de documentación técnica. La AESIA ya ha anunciado que pondrá en marcha un sandbox nacional para PYMEs durante 2026, alineado con el piloto estatal lanzado en 2023.

Qué cambia concretamente el 2 de agosto de 2026 para una PYME española

Aclaremos la confusión más extendida: el 2 de agosto de 2026 no convierte automáticamente a su PYME en proveedor GPAI. Las obligaciones directas de los modelos GPAI recaen sobre quienes los desarrollan y comercializan (OpenAI, Anthropic, Google, Mistral, Meta, etc.). Sin embargo, hay tres efectos cascada que sí impactan a su empresa:

Efecto 1: transparencia obligatoria hacia los usuarios finales

Si usted utiliza un chatbot de atención al cliente, un sistema de IA que genere imágenes para su marketing o cualquier herramienta que produzca contenido sintético (texto, imagen, audio, vídeo), debe informar al usuario de que está interactuando con una IA o de que el contenido ha sido generado o manipulado artificialmente. En contenidos audiovisuales se exige además un marcado técnico (watermarking) cuando sea factible.

En la práctica: el aviso "Está usted hablando con un asistente virtual" o la mención "Imagen generada por IA" deben estar presentes de forma clara y visible. La AEPD ha publicado orientaciones específicas que se solapan con las obligaciones del RGPD sobre chatbots.

Efecto 2: supervisión humana sobre decisiones automatizadas

Si su PYME emplea IA para tomar o sugerir decisiones que afectan a las personas (filtrado de candidatos en RR. HH., scoring de impagos, autorización automatizada de crédito, segmentación publicitaria con perfilado intenso), entra en el ámbito de los sistemas de alto riesgo previstos en el Anexo III del Reglamento. En estos casos, no basta con elegir un proveedor reputado: debe garantizar que existe revisión humana significativa, que el sistema está documentado y que los registros (logs) se conservan al menos seis meses.

Efecto 3: la cadena contractual con sus proveedores

A partir de agosto de 2026, sus proveedores de software con IA (CRM, herramientas de email marketing, plataformas de análisis, soluciones SaaS verticales) le exigirán firmar adendas contractuales que asignan responsabilidades. La ficha técnica del modelo GPAI que está aguas arriba debe llegarle de forma resumida. Si usted no la pide, no podrá demostrar diligencia debida ante una inspección.

Régimen sancionador: la AEPD, la AESIA y las multas reales

El Reglamento establece tres niveles sancionadores:

  • Hasta 35 M€ o el 7 % de la facturación mundial por incumplimientos relativos a prácticas prohibidas (artículo 5).
  • Hasta 15 M€ o el 3 % de la facturación mundial por incumplimiento de las obligaciones aplicables a proveedores y desplegadores de sistemas de alto riesgo, modelos GPAI y obligaciones de transparencia.
  • Hasta 7,5 M€ o el 1 % de la facturación mundial por suministrar información incorrecta, incompleta o engañosa a las autoridades.

Para las PYMEs, el Reglamento prevé expresamente que se aplique el límite inferior entre las dos cifras (importe fijo o porcentaje), evitando la desproporción mecánica que afectaría a estructuras pequeñas. No obstante, una sanción incluso reducida puede comprometer la viabilidad de una micro o pequeña empresa.

En España, la AESIA coordinará con la AEPD, el Instituto Nacional de Ciberseguridad (INCIBE) y el resto de autoridades sectoriales (Banco de España, CNMV, sectorial sanitario, etc.). El INCIBE, además, mantiene su rol clave en la respuesta a incidentes y en la línea 017 de ayuda en ciberseguridad, que las PYMEs deben tener integrada en su plan de respuesta ante incidentes de IA.

Plantilla de gobernanza IA para una PYME española

Le proponemos una estructura mínima viable de gobernanza, que puede implementar en aproximadamente cuatro semanas con recursos internos modestos:

Documento 1: política interna de uso de IA

Un documento de cuatro a seis páginas que cubra: ámbito de aplicación, herramientas autorizadas (lista positiva), herramientas prohibidas, datos que no pueden introducirse en prompts públicos (datos personales sensibles, secretos comerciales, propiedad intelectual de clientes), responsable interno de IA, procedimiento de incidencia y régimen disciplinario. Esta política debe firmarse por cada empleado y formar parte del onboarding.

Documento 2: registro de sistemas de IA

Una hoja de cálculo (basta con un Excel o un Notion compartido) que liste, para cada herramienta utilizada en la empresa: nombre, proveedor, finalidad, categoría de riesgo (mínimo / limitado / alto / inaceptable), datos personales tratados, base jurídica RGPD, fecha de alta, responsable interno y proveedor del modelo GPAI subyacente cuando se conozca.

Documento 3: evaluación de impacto sobre derechos fundamentales

Obligatoria únicamente para los desplegadores de sistemas de alto riesgo que sean entidades de Derecho público o presten servicios públicos esenciales, pero recomendable para toda PYME que use IA en decisiones sobre personas. Reutilice la estructura de la Evaluación de Impacto en Protección de Datos (EIPD) que ya conoce del RGPD: el solapamiento es del 80 %.

Documento 4: cláusulas contractuales tipo

Adendas para incorporar a sus contratos con proveedores SaaS: obligación del proveedor de notificar incidentes graves de IA en 72 horas, derecho de auditoría documental, compromiso de entregar la ficha técnica resumida del modelo GPAI, asignación de responsabilidades en caso de inspección y compromiso de no reentrenar modelos con sus datos sin consentimiento expreso.

Si necesita apoyo para articular esta gobernanza con su estrategia digital y de comunicación, le ayudamos a integrar las obligaciones de transparencia en sus flujos de marketing y en los contenidos generados por IA sin penalizar la conversión.

Checklist de conformidad para el 2 de agosto de 2026

Marque cada punto antes de la fecha límite. Si tiene más de tres elementos sin verificar a 30 de junio de 2026, considere acelerar.

  • Inventario completo de herramientas de IA utilizadas en la empresa (incluyendo las "Shadow IA" que los empleados usan sin autorización formal).
  • Clasificación de cada herramienta según el nivel de riesgo del Reglamento.
  • Política interna de uso de IA firmada por la plantilla.
  • Designación de un responsable interno de IA (puede acumularse con el DPO si lo hay).
  • Avisos de transparencia presentes en todos los chatbots e interfaces conversacionales.
  • Marcado o mención de contenido generado por IA en publicaciones, anuncios y materiales de marketing.
  • Revisión y firma de adendas con los proveedores SaaS críticos.
  • Formación interna mínima (dos horas) sobre uso responsable de la IA generativa.
  • Actualización del registro de atividades RGPD incorporando los tratamientos con IA.
  • Procedimiento de respuesta a incidentes de IA, coordinado con el plan de respuesta a incidentes de ciberseguridad existente.
  • Mecanismo documentado de supervisión humana para cualquier sistema que afecte a personas.
  • Conservación de logs mínimo seis meses para sistemas considerados de alto riesgo.

La conexión con el RGPD: aprovechar lo que ya tiene

Una buena noticia: si su PYME ya cumple razonablemente con el RGPD, una parte significativa del trabajo del AI Act ya está hecha. Los puntos de convergencia son numerosos:

  • El registro de atividades de tratamiento del artículo 30 RGPD puede ampliarse para incluir los sistemas de IA.
  • La evaluación de impacto (EIPD) del RGPD comparte metodología con la evaluación de impacto sobre derechos fundamentales del AI Act.
  • El derecho de información (artículos 13-14 RGPD) y la obligación de transparencia del AI Act se cumplen en gran medida con los mismos textos legales reforzados.
  • El artículo 22 RGPD sobre decisiones automatizadas individuales se solapa frontalmente con las obligaciones de supervisión humana del AI Act.
  • Su DPO (Delegado de Protección de Datos), si está designado, puede asumir naturalmente el rol de coordinador interno de IA.

La AEPD ha publicado en 2025 dos documentos clave que conviene leer en paralelo: la "Guía sobre el uso de IA generativa y protección de datos" y el documento conjunto con la AESIA sobre interpretación del solapamiento normativo. Ambos están disponibles gratuitamente en sus respectivas sedes electrónicas.

Encaje con el contexto de digitalización española

España está atravesando un momento singular: el programa Kit Digital ha movilizado más de 3.000 millones de euros para digitalizar pymes y autónomos, y muchas de las soluciones financiadas incorporan ya componentes de IA. El programa Kit Consulting, lanzado en 2024, financia precisamente el acompañamiento estratégico, incluido el de adaptación normativa.

Si está valorando aprovechar estas ayudas para acometer su adaptación al AI Act, le recomendamos planificarlo antes del verano de 2026: los plazos de tramitación de las ayudas y de implementación práctica raramente bajan de los tres a cinco meses. Si quiere recibir un diagnóstico personalizado adaptado a la realidad de su empresa, puede solicitar un presupuesto detallado con nuestro equipo.

Cinco errores que conviene evitar

  1. Pensar que esto es solo para "las grandes": el efecto cascada por la cadena contractual alcanza a toda PYME que use software con IA, es decir, a casi todas.
  2. Confundir la fase del 2 de agosto de 2026 con una entrada en vigor total: aún quedan fases posteriores, y conviene calendarizar la conformidad a 18-24 meses.
  3. Ignorar la "Shadow IA": los empleados ya están usando ChatGPT, Copilot o Claude por su cuenta, a menudo introduciendo datos sensibles. Sin política interna, es usted quien responde.
  4. Duplicar esfuerzos con el RGPD: no monte un sistema documental paralelo. Amplíe el que ya tiene.
  5. Subestimar la formación: el Reglamento exige expresamente "alfabetización en IA" suficiente para el personal que interactúa con estos sistemas. Dos horas anuales mínimo, documentadas, es un suelo razonable.

Conclusión: planificar ahora para llegar tranquilo

El 2 de agosto de 2026 no es el fin del mundo, pero tampoco es una fecha que pueda usted ignorar si dirige una PYME que utiliza IA generativa en su día a día. La buena noticia es que el grueso del trabajo es organizativo y documental, no técnico: con un esfuerzo concentrado de cuatro a ocho semanas, una PYME mediana puede situarse en una posición razonablemente conforme.

La clave es empezar ahora, antes del verano de 2026, para llegar a la fecha con la documentación cerrada, las políticas firmadas y los proveedores alineados. Una agencia digital experimentada puede acompañarle en ese proceso, integrando la conformidad en su estrategia global de marca, contenido y conversión. Para conocer mejor nuestra metodología y nuestro equipo, le invitamos a visitar nuestra página de presentación.

La IA generativa es una palanca extraordinaria de productividad y diferenciación competitiva. Bien gobernada, lo seguirá siendo. Mal gobernada, se convertirá en uno de los riesgos jurídicos más serios a los que se enfrente su empresa en los próximos cinco años. La diferencia está en lo que haga usted antes del 2 de agosto de 2026.

RM

Sobre el autor

Robin Monteiro

Co-fondateur de Go To Agency

Développeur full-stack et co-fondateur de Go To Agency, Robin conçoit des solutions web performantes avec Next.js, React et les dernières technologies.

Conocer al equipo

¿Necesita ayuda con su proyecto?

Hablemos gratuitamente de su proyecto. Auditoría, consejos y recomendaciones personalizadas en 15 minutos.

Solicitar un presupuesto gratuito
Compartir artículo

Questions fréquentes

¿Mi PYME se convierte en proveedor GPAI el 2 de agosto de 2026?+

No. Las obligaciones directas de proveedor GPAI recaen sobre quienes desarrollan y comercializan los modelos de fundación (OpenAI, Anthropic, Google, Mistral, Meta, etc.). Su PYME es desplegadora (deployer): tiene obligaciones propias de transparencia, supervisión humana, formación del personal y diligencia debida contractual con sus proveedores, pero no debe registrar un modelo GPAI ante la Comisión Europea.

¿Qué pasa si utilizo ChatGPT o Copilot de forma personal en mi pequeña empresa?+

Si los emplea con fines profesionales, aunque sea de forma informal, las obligaciones aplican. Debe disponer al menos de una política interna escrita sobre qué datos pueden y no pueden introducirse en estos servicios, un registro básico de uso, formación mínima del personal e información a los usuarios finales cuando el contenido generado se publique externamente.

¿Tengo que esperar a tener un DPO designado para empezar?+

No. La designación de un Delegado de Protección de Datos solo es obligatoria en supuestos tasados del RGPD. Para el AI Act basta con designar un responsable interno (puede ser el gerente, un responsable de IT o el responsable de cumplimiento) que coordine la gobernanza. Si ya tiene DPO, lo más eficiente es ampliar sus funciones a la coordinación de IA.

¿Puedo financiar mi adaptación al AI Act con Kit Digital o Kit Consulting?+

Las ayudas Kit Digital se orientan principalmente a la adquisición de soluciones digitales, mientras que Kit Consulting financia precisamente el asesoramiento estratégico en transformación digital, ciberseguridad e inteligencia artificial. Esta última es una vía adecuada para sufragar el diagnóstico, la redacción de políticas y la formación. Conviene tramitar la solicitud al menos tres a cinco meses antes de la fecha objetivo de implementación.

Presupuesto gratuito
Reglamento IA 2 Agosto 2026: PYMEs Españolas GPAI | Go To Agency