Muchas PYMES en España ya utilizan inteligencia artificial sin tratarla todavía como una cuestión formal de cumplimiento. Chatbots, motores de recomendación, automatización de marketing, herramientas de reclutamiento y analítica predictiva ya forman parte de la operativa diaria de miles de pequeñas empresas. Sin embargo, el tamaño de la empresa no la deja fuera del radar normativo: si utiliza IA y procesa datos personales, entra en juego un marco regulatorio que combina el EU AI Act, el GDPR y, en determinados casos, exigencias de ciberseguridad relacionadas con NIS2.
En España, además, el ecosistema supervisor se está moviendo con rapidez. La AESIA ya está operativa y publicó en diciembre de 2025 un paquete de 16 guías prácticas para apoyar el cumplimiento del Reglamento europeo de IA, mientras que la AEPD mantiene una actividad intensa en privacidad y ha recordado expresamente que ya puede actuar frente a tratamientos realizados mediante IA cuando afecten al derecho a la protección de datos personales.
Para PYMES que quieren convertir este reto en una ventaja competitiva, el programa de estrategia de IA y tecnologías emergentes para negocios puede servir como punto de partida práctico para ordenar gobernanza, riesgos y cumplimiento en un solo marco operativo.
Por qué las PYMES no deben esperar
El calendario del AI Act ya está corriendo. La Comisión Europea indica que el reglamento entró en vigor el 1 de agosto de 2024; las prohibiciones y obligaciones de alfabetización en IA comenzaron a aplicarse el 2 de febrero de 2025; las obligaciones para modelos GPAI y reglas de gobernanza aplican desde el 2 de agosto de 2025; y la aplicación general llega el 2 de agosto de 2026, con una transición ampliada hasta 2027 para ciertos sistemas de alto riesgo integrados en productos regulados.
Eso significa que una PYME no necesita esperar a 2026 para empezar. Si ya utiliza IA en atención al cliente, recursos humanos, scoring, segmentación comercial o vigilancia, hoy mismo puede tener obligaciones de transparencia, de gestión del riesgo, de privacidad o de supervisión humana, dependiendo del caso de uso.
El riesgo no es solo teórico. La AEPD informó que en 2024 el importe global de sanciones ascendió a 35.592.200 euros, y que en 2025 recibió 2.765 notificaciones de brechas de datos personales. También recordó que, desde el 2 de agosto de 2025, ya están en vigor en España determinadas facultades supervisoras y sancionadoras vinculadas al AI Act respecto de sistemas prohibidos, además de sus competencias propias en protección de datos.
La trampa habitual en las pequeñas empresas
La mayoría de las PYMES no falla por mala fe, sino por informalidad. Incorporan herramientas “inteligentes” sin inventario, sin revisión contractual, sin análisis de riesgos y sin actualizar sus avisos de privacidad. Ese enfoque es especialmente peligroso cuando la herramienta:
-
procesa datos personales;
-
toma decisiones o influye en decisiones sobre personas;
-
se ejecuta de forma automatizada sin revisión humana suficiente;
-
utiliza datos sensibles o perfiles;
-
depende de terceros proveedores o de modelos fundacionales externos.
La AEPD ofrece materiales específicos sobre tratamientos con IA, auditorías y uso de chatbots, lo que da una señal clara de por dónde espera que las organizaciones empiecen a demostrar diligencia.
Su sprint de cumplimiento de IA para PYMES
Paso 1: identificar todas las herramientas de IA que ya utiliza
Empiece por crear un listado simple de herramientas. Incluya chatbots, plataformas de atención al cliente, automatización de email marketing, herramientas de RR. HH., motores de recomendación, analítica predictiva y cualquier servicio SaaS que se presente como “basado en IA” o “inteligente”. Lo importante no es el nombre comercial, sino si analiza datos y produce resultados automatizados que afectan al negocio o a personas.
AESIA publicó una guía introductoria al Reglamento de IA y una colección de guías prácticas para el cumplimiento del RIA que pueden ayudarte a estructurar este inventario.
Paso 2: hacer tres preguntas básicas por herramienta
Para cada sistema, pregúntese:
-
¿Procesa datos personales?
-
¿Afecta a personas en decisiones, recomendaciones o segmentaciones relevantes?
-
¿Opera sin una revisión humana real en cada caso importante?
Si la respuesta es sí en varios puntos, la herramienta necesita una revisión más profunda desde GDPR y, según el uso, también desde el AI Act. En la práctica, sistemas relacionados con contratación, biometría, educación, sanidad, crédito o acceso a servicios merecen especial atención.
Paso 3: documentar lo mínimo indispensable
Una PYME no necesita empezar con un sistema documental gigantesco. Pero sí debe poder demostrar, como mínimo:
-
qué herramienta utiliza;
-
para qué la utiliza;
-
qué datos trata;
-
quién es el proveedor;
-
qué riesgos identificó;
-
qué control humano existe;
-
qué base jurídica aplica si hay datos personales;
-
qué medidas de seguridad y retención están definidas.
AESIA incluso publicó una herramienta checklist de autodiagnóstico para facilitar planes de adaptación y documentación técnica alineada con el Reglamento de IA.
Paso 4: actualizar privacidad y transparencia
Si usa IA en atención al cliente, recomendaciones o decisiones automatizadas, revise su política de privacidad, avisos de información y flujos de comunicación. El GDPR exige transparencia, y la AEPD recuerda que las brechas deben notificarse a la autoridad en 72 horas cuando exista riesgo.
En términos prácticos, conviene explicar de forma clara:
-
qué sistemas automatizados se usan;
-
con qué finalidad;
-
qué datos intervienen;
-
si existe revisión humana;
-
cómo puede el usuario ejercer sus derechos.
Paso 5: formar al equipo y fijar una regla interna
El AI Act ya incluye obligaciones de alfabetización en IA. Aunque una PYME tenga un equipo pequeño, conviene establecer una norma simple: ninguna herramienta de IA entra en producción sin pasar por una revisión mínima de privacidad, seguridad y proveedor. La Comisión Europea y la propia AESIA ya sitúan la alfabetización y la gobernanza como piezas tempranas del cumplimiento.
Qué está en juego si no hace nada
El coste del incumplimiento no se limita a una eventual multa. También puede implicar pérdida de confianza, dificultades contractuales con clientes más grandes, bloqueo en licitaciones o revisiones más duras por parte de socios y plataformas. El AI Act prevé sanciones máximas muy elevadas para determinadas infracciones, mientras que el GDPR ya está plenamente operativo y la AEPD mantiene una actividad sancionadora real en España.
Además, si su empresa depende de proveedores de IA o de nube, el ángulo de ciberseguridad también importa. ENISA mantiene recursos para pequeñas empresas sobre buenas prácticas de ciberseguridad, muy útiles para reducir exposición en herramientas externas y accesos remotos.
Hoja de ruta de 90 días para una PYME
Mes 1
-
Inventariar todas las herramientas de IA.
-
Identificar cuáles tratan datos personales.
-
Priorizar las que afectan a clientes, empleados o candidatos.
-
Revisar los contratos con proveedores clave.
Mes 2
-
Actualizar avisos de privacidad y registros internos.
-
Documentar riesgos y controles.
-
Implantar una revisión humana donde haga falta.
-
Revisar accesos, MFA y retención de datos.
Mes 3
-
Ejecutar una autoevaluación con materiales de AESIA.
-
Hacer una revisión con asesor legal o de privacidad.
-
Definir un responsable interno para nuevas herramientas.
-
Preparar evidencias básicas de cumplimiento.
Para PYMES que quieren acelerar esa transición con una metodología más estructurada, el curso de estrategia de IA y tecnologías emergentes para negocios puede ayudar a convertir esta hoja de ruta en un plan operativo real.
Conclusión
La pequeña empresa que usa IA no está fuera del marco regulatorio: está ya dentro de él. España dispone de una autoridad específica como AESIA, la Comisión Europea ya fijó el calendario por fases del AI Act y la AEPD sigue reforzando su actividad en privacidad y en tratamientos con IA. Las PYMES que documenten, revisen y transparenten ahora sus sistemas llegarán a 2026 con ventaja frente a quienes sigan improvisando.
Preguntas frecuentes
¿Las pequeñas empresas en España deben cumplir con el EU AI Act?
Sí. El AI Act se aplica por el tipo de sistema y la actividad realizada, no solo por el tamaño de la empresa. Si una PYME desarrolla, comercializa o utiliza determinados sistemas de IA en la UE, puede tener obligaciones regulatorias.
¿Necesito un DPO si utilizo IA?
No siempre. Depende del tipo de tratamiento y de si existen supuestos de designación obligatoria bajo GDPR y normativa española. Si hay monitorización a gran escala o tratamiento intensivo de categorías sensibles, la revisión debe ser más estrict. La AEPD ofrece recursos para evaluar tratamientos con IA y privacidad.
¿Puedo usar chatbots de IA legalmente en España?
Sí, pero debe analizar si procesan datos personales, informar al usuario con transparencia y aplicar controles adecuados de seguridad, proveedor y revisión humana cuando corresponda.
¿Dónde encuentro guías oficiales para empezar?
En la AESIA y en la AEPD. AESIA publicó 16 guías prácticas y una checklist de autodiagnóstico; la AEPD mantiene materiales sobre IA, auditorías y chatbots.
¿Qué pasa si una pequeña empresa ignora el cumplimiento?
Puede exponerse a sanciones, reclamaciones, pérdida de contratos y mayor riesgo reputacional. El GDPR ya se aplica plenamente y el AI Act ya tiene fases en vigor.
