Reglamento IA UE 2026: guía de conformidad para pymes europeas
Estrategia11 min min de lectura

Reglamento IA UE 2026: guía de conformidad para pymes europeas

El 2 de agosto de 2026, el Reglamento IA UE exige conformidad en procesos sensibles. El 68 % de las pymes no están preparadas: plan de acción en 5 pasos.

N

NeuraWeb


El 2 de agosto de 2026, el Reglamento IA de la UE impone obligaciones concretas a las empresas que utilizan sistemas de IA en procesos sensibles. Si usáis una herramienta de IA para reclutar, puntuar clientes o evaluar equipos, tenéis exactamente 69 días para cumplir — sin necesidad de gastar un euro.

Según el informe Bpifrance IA 2026, el 68 % de las pymes europeas de menos de 250 empleados aún no han hecho el inventario de sus usos de IA. La mayoría no tiene ningún plan de acción para el plazo de agosto de 2026.

Esta guía es para las pymes desplegadoras — las que utilizan herramientas de IA de terceros en sus procesos — con un plan de acción de 5 pasos ilustrado con un caso ficticio.

À retenir — Key Takeaways

  • Fecha límite: 2 de agosto de 2026 para los sistemas de IA de alto riesgo — 68 % de las pymes europeas no están preparadas (Bpifrance 2026)
  • Tu rol probable: desplegadora (utilizas una herramienta de IA de terceros) → obligaciones reducidas pero reales: supervisión humana, registro de uso, formación de operadores
  • Alto riesgo: reclutamiento con IA (Workable, HireVue), scoring crediticio, evaluación automatizada del rendimiento de empleados
  • Riesgo limitado: chatbots, herramientas de síntesis → una mención visible de "tratamiento automatizado" es suficiente
  • Coste de conformidad: 0 € en software para una pyme desplegadora estándar — 8 horas de trabajo interno repartidas en 3 semanas
  • Próxima fecha: 2 de agosto de 2027 para los productos de alto riesgo del Anexo I (maquinaria, dispositivos médicos)

Lo que el Reglamento IA cambia realmente para las empresas europeas

El Reglamento UE 2024/1689 ha entrado en vigor de forma progresiva desde el 1 de agosto de 2024. Tres fechas estructuran el calendario.

Febrero de 2025 — Prohibición de prácticas de IA prohibidas: puntuación social, manipulación psicológica, reconocimiento biométrico no consentido. Aplicable desde hace 6 meses — si vuestra pyme opera en estas áreas, la urgencia es inmediata, no en agosto.

2 de agosto de 2026 — Obligaciones para los sistemas de IA de alto riesgo y los modelos de IA de uso general (GPAI). Esta es la fecha límite que afecta a la mayoría de las pymes que utilizan herramientas de RRHH, scoring o evaluación.

2 de agosto de 2027 — Aplicación completa para ciertos productos de alto riesgo listados en el Anexo I (maquinaria, dispositivos médicos). Fuera del alcance para la mayoría de las pymes de servicios.

Proveedor, desplegador o usuario final: ¿dónde se sitúa vuestra pyme?

El Reglamento IA distingue tres roles con obligaciones muy diferentes.

Proveedor: desarrolláis o comercializáis un sistema de IA. Obligaciones máximas — marcado CE, documentación técnica completa, registro en la base de datos de la UE.

Desplegador: integráis un sistema de IA de terceros en vuestros procesos de negocio. Este es el caso de la mayoría de las pymes. Obligaciones reducidas pero reales: supervisión humana, registro de uso, formación de operadores.

Usuario final simple: vuestros empleados usan ChatGPT para redactar correos o generar resúmenes. Obligaciones mínimas — ningún trámite específico mientras el resultado de la IA no intervenga en una decisión que afecte a terceros.

Identificar vuestro rol es la primera decisión a tomar — condiciona todo lo que sigue.

Los 4 niveles de riesgo: ¿estáis en zona de alto riesgo?


CategoríaEjemplos concretosObligación pyme desplegadora
ProhibidoPuntuación social, manipulación psicológica, biometría no consentidaCese inmediato — aplicable desde febrero de 2025
Alto riesgoReclutamiento IA, scoring crediticio, evaluación de empleados, acceso a infraestructura críticaConformidad obligatoria antes del 2/08/2026
Riesgo limitadoChatbots, generadores de texto, herramientas de síntesisAviso visible de "tratamiento automatizado" para el usuario final
Riesgo mínimoFiltros antispam, recomendaciones de contenido, correctores ortográficosSin obligación específica

Cómo saber si vuestra herramienta está clasificada como de alto riesgo

Estáis en zona de alto riesgo si vuestra pyme usa una herramienta de IA para al menos uno de estos usos:

  • Clasificar, ordenar o evaluar candidaturas de empleo (Workable, HireVue, LinkedIn Recruiter con scoring automatizado)

  • Evaluar el rendimiento o la productividad de empleados mediante puntuaciones automatizadas

  • Conceder o denegar crédito, facilidades de pago o seguros

  • Gestionar el acceso a infraestructuras críticas (energía, agua, transporte)
  • La prueba rápida: si vuestra herramienta de IA produce una puntuación, calificación o clasificación que influye directamente en una decisión sobre una persona — estáis en zona de alto riesgo.

    Si usáis Workable, BambooHR, HireVue o cualquier herramienta de matching automático de CV: preguntad por escrito a vuestro proveedor si su sistema está clasificado como de alto riesgo según el Reglamento IA. Su respuesta (o su silencio) os dirá todo.

    Caso ficticio: conformidad completa en 3 semanas — coste: 0 €

    Así es como una pyme de e-commerce tipo de 45 empleados podría abordar su conformidad con el Reglamento IA.

    Situación inicial:

  • Herramienta de scoring de devoluciones de productos: riesgo mínimo — sin acción requerida

  • Chatbot de atención al cliente (Zendesk IA): riesgo limitado — basta con una mención en las condiciones generales

  • Módulo de scoring crediticio para pagos diferidos: alto riesgo — obligaciones de conformidad completa
  • Semana 1 — Inventario e identificación (2h de trabajo)

    El equipo listó todas las herramientas de IA activas en 2 horas en una hoja de Google: nombre de la herramienta, proveedor, uso empresarial exacto, datos personales tratados, volumen mensual estimado.

    El módulo de scoring crediticio fue identificado inmediatamente como sistema de alto riesgo. Se envió un email escrito (para crear un rastro documental) al proveedor solicitando la documentación técnica y el aviso de uso — obligatorio para cualquier proveedor de un sistema de IA de alto riesgo destinado a desplegadores de la UE.

    Semana 2 — Documentación y ajustes (1h + respuesta del proveedor)

    La documentación llegó en 5 días hábiles. Dos acciones en paralelo:

    Se añadió un aviso de "tratamiento automatizado" en las condiciones generales del chatbot de atención al cliente (30 minutos de desarrollo). El director financiero fue designado responsable interno de IA — sin contratación, sin coste, solo una formalidad interna documentada por email.

    Semana 3 — Registro y procedimiento (1h)

    Creación del registro de uso de IA (hoja de Google, 5 columnas: nombre de la herramienta, uso empresarial, fecha de despliegue, fecha de desactivación si procede, responsable interno). Formación del director financiero sobre el módulo de scoring crediticio: 30 minutos, proporcionada gratuitamente por el proveedor.

    Procedimiento interno establecido: el director financiero valida manualmente todas las decisiones superiores a 5.000 euros generadas por el módulo de scoring. Esta validación humana es precisamente lo que exige el Reglamento IA para los sistemas de alto riesgo.

    Resultado: pyme conforme para el plazo del 2 de agosto de 2026. Coste total: 0 euros en software o proveedores externos, 8 horas de trabajo interno distribuidas en 3 semanas.

    Neuraweb ofrece una auditoría de conformidad con el Reglamento IA gratuita para pymes — evaluación de riesgos y plan de acción en 48h. Solicitar una auditoría →

    El plan de acción en 5 pasos: completar antes del 2 de agosto de 2026

    Paso 1 — Inventariar todas vuestras herramientas de IA (2h)

    Listadlo todo en una hoja de Google: nombre de la herramienta, proveedor, uso empresarial exacto, datos personales tratados (empleados, clientes, candidatos), volumen mensual estimado.

    No olvidéis los módulos de IA integrados en vuestros SaaS existentes — las funciones de IA de HubSpot, Salesforce, Zendesk o vuestro ERP entran en el perímetro si tratan datos personales en un proceso de toma de decisiones.

    Paso 2 — Clasificar el riesgo de cada herramienta (1h)

    Para cada herramienta de la lista, haceos una sola pregunta: ¿produce este sistema puntuaciones, clasificaciones o decisiones que afectan directamente a personas físicas?

    Si sí → clasificadla como de alto riesgo provisional y pasad al paso 3.
    Si no → identificad si hay interacción directa con usuarios finales (riesgo limitado, aviso obligatorio) o ninguna (riesgo mínimo, sin acción).

    Paso 3 — Solicitar documentación al proveedor (1 email, plazo 5 a 10 días)

    Enviad un email escrito a cada proveedor de un sistema clasificado como de alto riesgo. Solicitad explícitamente:

  • El aviso de uso destinado a los desplegadores

  • La documentación técnica del sistema

  • La clasificación de riesgo oficial del producto según el Reglamento IA

  • El marcado CE para los proveedores de la UE
  • El email escrito crea un rastro documental — imprescindible en caso de inspección. Si el proveedor rechaza o no puede proporcionar esta documentación: es una señal de alerta seria. Un proveedor conforme está legalmente obligado a ponerla a disposición. Cambiad de herramienta si es necesario.

    Paso 4 — Implementar la supervisión humana (2h)

    El Reglamento IA exige que un humano cualificado supervise y pueda impugnar las decisiones de los sistemas de alto riesgo. Tres acciones concretas:

    Designad un responsable interno de IA (miembro del equipo existente, sin necesidad de contratación). Formadlo sobre el funcionamiento de la herramienta — vuestro proveedor está obligado a ofrecer esta formación. Documentad el procedimiento: quién valida qué, en qué plazo, con qué trazabilidad.

    El procedimiento de supervisión es la pieza central de vuestro expediente de conformidad.

    Paso 5 — Crear y mantener el registro de uso (1h de creación, 15 min/mes)

    Los desplegadores de sistemas de alto riesgo deben mantener un registro de uso. Cinco columnas son suficientes:

  • Nombre de la herramienta

  • Uso empresarial exacto

  • Fecha de despliegue

  • Fecha de desactivación (si procede)

  • Responsable interno designado
  • Este registro es vuestra prueba de conformidad. Actualizadlo con cada nueva herramienta de IA desplegada o retirada.

    Reparto de responsabilidades: vosotros y vuestro proveedor SaaS

    Esta es la zona de confusión más frecuente en las pymes: "nuestro proveedor SaaS gestiona la conformidad por nosotros, ¿verdad?"

    Parcialmente. El proveedor SaaS es responsable de la conformidad de su sistema — documentación técnica, marcado CE, registro en la UE. Vosotros, como desplegadores, seguís siendo responsables de:

  • La supervisión humana de las decisiones tomadas por el sistema

  • El mantenimiento del registro de uso

  • La formación de vuestros operadores

  • La información a vuestros usuarios finales (empleados, clientes) sobre el tratamiento automatizado
  • Este reparto debe clarificarse mediante una addenda contractual con vuestro proveedor antes de agosto de 2026. Si vuestro contrato actual no menciona el Reglamento IA: enviad un email solicitando explícitamente la aclaración de las responsabilidades respectivas. La respuesta (o la ausencia de respuesta) es informativa.

    Qué deben hacer las pymes según su situación

    No usáis ninguna herramienta de IA en procesos de RRHH, crédito o evaluación — riesgo mínimo. Haced igualmente el inventario en 2 horas: estaréis tranquilos durante 12 meses y preparados para posibles inspecciones.

    Usáis una herramienta de reclutamiento o evaluación con scoring automatizado — prioridad inmediata. Empezad por el email a vuestro proveedor esta semana. Los plazos de respuesta y documentación pueden tardar de 2 a 3 semanas.

    Desarrolláis vosotros mismos una función de IA para vuestros clientes — sois proveedores, no solo desplegadores. Las obligaciones son considerablemente más pesadas: documentación técnica completa, análisis de conformidad, potencialmente marcado CE. Consultad a un abogado especializado en IA.

    Operáis en sanidad, finanzas o infraestructuras — se aplican obligaciones sectoriales adicionales más allá del Reglamento IA. Se recomienda un análisis específico por parte de un asesor especializado antes de agosto de 2026.

    ---

    Más para leer

  • Agentes de IA: lo que ya hacen vuestros competidores — herramientas de IA desplegadas por pymes y sus obligaciones bajo el Reglamento IA

  • Precios de automatización IA para pymes 2026 — entender el coste de las herramientas de IA que debéis inventariar

  • 3 workflows de agentes IA con ROI real medido — qué flujos desplegar una vez establecida vuestra conformidad

  • Integrar la IA en vuestra web — herramientas de IA para pymes y puntos de atención regulatoria

  • Nuestro servicio de automatización — packs de IA desplegados con acompañamiento en conformidad incluido
  • Neuraweb realiza vuestra auditoría del Reglamento IA de forma gratuita — evaluación de riesgos, plan de acción en 48h y acompañamiento en la conformidad. Solicitar la auditoría →

    Preguntas frecuentes

    Etiquetas

    ¿Necesitas ayuda con tu proyecto?

    NeuraWeb te acompaña en desarrollo web, integración IA y automatización.

    Contáctanos