El EU AI Act es la primera regulación europea integral sobre inteligencia artificial. Aplica desde 2024 con un calendario escalonado y afecta a cualquier empresa que use IA en la UE — incluida tu pyme. La buena noticia: la mayoría de usos en una pyme entran en categorías de riesgo bajo, con obligaciones manejables.
¿Qué es el EU AI Act y cuándo aplica?
El EU AI Act es el reglamento europeo que clasifica los sistemas de IA por nivel de riesgo (inaceptable, alto, limitado, mínimo) y establece obligaciones por categoría. Entró en vigor el 1 de agosto de 2024, con un despliegue por fases entre 2025 y 2027.
Calendario clave que conviene tener en mente:
- Febrero 2025: prohibiciones (sistemas de IA inaceptables) y obligaciones de alfabetización en IA del personal (artículo 4).
- Agosto 2025: obligaciones para los modelos de IA de propósito general (GPT, Claude, Gemini, Llama).
- Agosto 2026: la mayoría de obligaciones para sistemas de alto riesgo.
- Agosto 2027: aplicación completa, incluidos los sistemas integrados en productos regulados.
Estamos en mayo de 2026 — la obligación de alfabetización ya aplica desde hace más de un año.
Las 4 categorías de riesgo (y dónde encaja tu pyme)
Riesgo inaceptable (prohibido)
Sistemas de manipulación masiva, social scoring, identificación biométrica masiva en espacios públicos. Una pyme española normal no toca esta categoría — son usos específicos de gobiernos o grandes corporaciones que aplican vigilancia masiva.
Alto riesgo
Sistemas que toman decisiones críticas: contratación automática de personal, scoring crediticio, sistemas educativos automatizados, dispositivos médicos con IA, gestión de infraestructuras críticas. Si tu pyme automatiza decisiones de contratación o crédito, entras aquí. La mayoría de pymes no.
Riesgo limitado
Sistemas que interactúan con personas (chatbots, generadores de contenido, asistentes virtuales). Aquí entra el uso típico de Claude o ChatGPT en una pyme. Las obligaciones se centran en transparencia: avisar al usuario cuando interactúa con una IA y cuando un contenido ha sido generado por IA.
Riesgo mínimo
Filtros de spam, recomendadores básicos, asistentes internos sin contacto con cliente final. Sin obligaciones específicas más allá de las generales.
Resumen para una pyme
La mayoría de pymes que usan Claude/ChatGPT/Gemini para tareas internas (redacción, análisis, atención al cliente) están en riesgo limitado, no alto. Las obligaciones son razonables: transparencia con usuarios, alfabetización del equipo, registro de uso. Coste real: una tarde de configuración + una sesión de formación.
¿Qué obligaciones aplican concretamente a tu pyme en 2026?
Tres obligaciones afectan a la mayoría de pymes españolas: (1) alfabetización en IA del personal que la usa, (2) transparencia cuando interactúan con clientes mediante IA, y (3) supervisión humana documentada del uso de IA en la organización.
1. Alfabetización en IA (artículo 4)
Desde febrero de 2025, las empresas deben asegurarse de que el personal que usa IA tenga conocimientos suficientes sobre cómo funciona, sus limitaciones y los riesgos asociados.
En la práctica: una formación interna documentada (incluso de 2-3 horas) cumple sobradamente. Lo importante es que sea trazable: quién la ha recibido, cuándo, con qué contenido y con qué materiales. Una sesión grabada y un PDF resumen son suficientes para una pyme.
2. Transparencia con usuarios
Si tu pyme usa IA para atender a clientes (chatbots, respuestas automáticas, contenido generado), debe informar al usuario. No tiene que ser un aviso intrusivo: una mención en el aviso legal, en la política de privacidad o en el primer mensaje del chatbot suele bastar.
Ejemplo de cláusula tipo: "Esta organización puede emplear sistemas de inteligencia artificial para asistir en la atención al cliente y la generación de contenido. Toda comunicación se revisa bajo supervisión humana antes de su entrega."
3. Supervisión humana
Las decisiones que afectan a clientes (rechazar una propuesta, conceder un descuento, derivar a otra área, cerrar una incidencia) deben tener supervisión humana documentada. En la práctica: que haya una persona responsable de revisar lo que la IA produce antes de que llegue al cliente, y que ese rol esté escrito en algún documento interno.
Cómo encaja Claude/Anthropic con el EU AI Act
Anthropic ha diseñado Claude con un enfoque explícito en seguridad y alineación con la normativa europea. Cumple con los requisitos para modelos de propósito general bajo el AI Act y publica documentación técnica accesible para los usuarios empresariales que la necesiten para su propio cumplimiento.
Lo que Anthropic ofrece y por qué importa para tu cumplimiento:
- No entrenamiento con datos de planes de pago: encaja con RGPD y con la base de tu argumentación de cumplimiento ante un cliente o auditor.
- Documentación técnica del modelo (model card pública): te da material para tu registro interno.
- Cláusulas contractuales tipo (DPA) en planes Team y Enterprise: facilitan el cumplimiento de las obligaciones de tratamiento de datos.
Esto no exime a tu empresa de sus propias obligaciones (uso, transparencia, supervisión), pero cubre la parte técnica del proveedor — que de otra forma tendrías que verificar tú.
Plan de cumplimiento mínimo en 5 pasos
Inventariar el uso de IA
Lista qué herramientas de IA usa tu equipo (Claude, ChatGPT, Copilot, Gemini, traducción automática, OCR, etc.) y para qué tareas. Sin inventario, no hay cumplimiento posible — es el primer documento que pediría una auditoría.
Clasificar por nivel de riesgo
Para cada uso, identifica la categoría: inaceptable, alto, limitado o mínimo. La mayoría caerán en limitado o mínimo. Documéntalo en una tabla simple — no necesitas un dictamen jurídico, solo criterio razonable.
Formar al equipo (alfabetización)
Sesión documentada de 2-3 horas: qué es la IA generativa, limitaciones, sesgos, datos sensibles, supervisión humana, política interna de uso. Lista de asistentes + materiales archivados. Renueva cada año.
Definir políticas internas
Documento corto (2-3 páginas): qué datos se pueden pasar a la IA, qué herramientas autorizadas, cuándo informar al cliente, quién supervisa, qué hacer si una IA produce un error visible para el cliente.
Revisar y documentar anualmente
Revisión anual del inventario y políticas. Si añades una herramienta nueva o un caso de uso de mayor riesgo, actualiza la documentación en el momento — no en la siguiente revisión anual.
Errores comunes en cumplimiento
-
Asumir que solo afecta a grandes empresas. El AI Act afecta a cualquier organización que use IA en la UE, sin umbral de plantilla o facturación.
-
Confundir "no es un sistema de alto riesgo" con "no tengo obligaciones". Riesgo limitado también tiene obligaciones de transparencia y alfabetización.
-
Esperar a 2027 para empezar. La obligación de alfabetización ya aplica desde febrero de 2025. Cada mes que pasa sin formación documentada es exposición innecesaria.
-
Tratar el cumplimiento como un acto único. Es un proceso vivo: añades una herramienta, actualizas el inventario; cambias un proceso, revisas la política.
La oportunidad oculta del cumplimiento
Las pymes que cumplen bien con el AI Act no solo evitan multas — ganan ventaja comercial. Cada vez más clientes (especialmente del sector público, banca, asegurador y sanidad) piden a sus proveedores documentación sobre uso de IA. Tener ya el inventario, las políticas y la formación documentada es un diferenciador en RFPs y procesos de selección de proveedores.
Es el mismo movimiento que hubo con RGPD entre 2016 y 2018: las empresas que se anticiparon firmaron contratos que las que llegaron tarde no pudieron firmar.
No hay un registro público al que apuntarse para uso típico de Claude (riesgo limitado). Sí debes mantener un registro interno con qué herramientas usa la empresa, para qué casos de uso y la formación recibida por el equipo. Es documentación que solo se exhibe si una autoridad o un cliente lo solicita.
Si usas IA para atender a clientes (chatbot, respuestas automáticas, generación de contenido visible al cliente), sí — basta una mención en aviso legal o política de privacidad indicando que la empresa puede usar herramientas de IA y la base legal del tratamiento. Para uso interno (redacción de borradores, análisis interno), no es obligatorio frente al usuario final, pero sí recomendable internamente.
Las multas del AI Act van de 7,5 a 35 millones de euros o del 1-7% de la facturación global, dependiendo de la infracción. En la práctica, las autoridades priorizarán infracciones graves (sistemas prohibidos, alto riesgo sin medidas). Para una pyme con uso típico, el riesgo realista es bajo, pero el coste de cumplir es muy bajo también — no hay razón racional para no hacerlo.
Sí, los tres son modelos de propósito general que cumplen con los requisitos del AI Act para proveedores. Tu obligación como usuario empresarial es la transparencia, la alfabetización del equipo y la supervisión humana — no el modelo en sí. La elección del proveedor es libre.
España fue uno de los primeros países en designar autoridad nacional: la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), con sede en A Coruña, es la responsable de supervisar la aplicación del AI Act en España. Trabaja en coordinación con la AEPD para todo lo relacionado con tratamiento de datos.
¿Quieres implementar Claude en tu empresa?
Te ayudamos a pasar de la teoría a la práctica en 4 semanas, sin dependencias.
