El 2 de agosto de 2026, el Reglamento IA de la UE impone obligaciones concretas a las empresas que utilizan sistemas de IA en procesos sensibles. Si usáis una herramienta de IA para reclutar, puntuar clientes o evaluar equipos, tenéis exactamente 69 días para cumplir — sin necesidad de gastar un euro.
Según el informe Bpifrance IA 2026, el 68 % de las pymes europeas de menos de 250 empleados aún no han hecho el inventario de sus usos de IA. La mayoría no tiene ningún plan de acción para el plazo de agosto de 2026.
Esta guía es para las pymes desplegadoras — las que utilizan herramientas de IA de terceros en sus procesos — con un plan de acción de 5 pasos ilustrado con un caso ficticio.
À retenir — Key Takeaways
- Fecha límite: 2 de agosto de 2026 para los sistemas de IA de alto riesgo — 68 % de las pymes europeas no están preparadas (Bpifrance 2026)
- Tu rol probable: desplegadora (utilizas una herramienta de IA de terceros) → obligaciones reducidas pero reales: supervisión humana, registro de uso, formación de operadores
- Alto riesgo: reclutamiento con IA (Workable, HireVue), scoring crediticio, evaluación automatizada del rendimiento de empleados
- Riesgo limitado: chatbots, herramientas de síntesis → una mención visible de "tratamiento automatizado" es suficiente
- Coste de conformidad: 0 € en software para una pyme desplegadora estándar — 8 horas de trabajo interno repartidas en 3 semanas
- Próxima fecha: 2 de agosto de 2027 para los productos de alto riesgo del Anexo I (maquinaria, dispositivos médicos)
Lo que el Reglamento IA cambia realmente para las empresas europeas
El Reglamento UE 2024/1689 ha entrado en vigor de forma progresiva desde el 1 de agosto de 2024. Tres fechas estructuran el calendario.
Febrero de 2025 — Prohibición de prácticas de IA prohibidas: puntuación social, manipulación psicológica, reconocimiento biométrico no consentido. Aplicable desde hace 6 meses — si vuestra pyme opera en estas áreas, la urgencia es inmediata, no en agosto.
2 de agosto de 2026 — Obligaciones para los sistemas de IA de alto riesgo y los modelos de IA de uso general (GPAI). Esta es la fecha límite que afecta a la mayoría de las pymes que utilizan herramientas de RRHH, scoring o evaluación.
2 de agosto de 2027 — Aplicación completa para ciertos productos de alto riesgo listados en el Anexo I (maquinaria, dispositivos médicos). Fuera del alcance para la mayoría de las pymes de servicios.
Proveedor, desplegador o usuario final: ¿dónde se sitúa vuestra pyme?
El Reglamento IA distingue tres roles con obligaciones muy diferentes.
Proveedor: desarrolláis o comercializáis un sistema de IA. Obligaciones máximas — marcado CE, documentación técnica completa, registro en la base de datos de la UE.
Desplegador: integráis un sistema de IA de terceros en vuestros procesos de negocio. Este es el caso de la mayoría de las pymes. Obligaciones reducidas pero reales: supervisión humana, registro de uso, formación de operadores.
Usuario final simple: vuestros empleados usan ChatGPT para redactar correos o generar resúmenes. Obligaciones mínimas — ningún trámite específico mientras el resultado de la IA no intervenga en una decisión que afecte a terceros.
Identificar vuestro rol es la primera decisión a tomar — condiciona todo lo que sigue.
Los 4 niveles de riesgo: ¿estáis en zona de alto riesgo?
| Categoría | Ejemplos concretos | Obligación pyme desplegadora |
|---|---|---|
| Prohibido | Puntuación social, manipulación psicológica, biometría no consentida | Cese inmediato — aplicable desde febrero de 2025 |
| Alto riesgo | Reclutamiento IA, scoring crediticio, evaluación de empleados, acceso a infraestructura crítica | Conformidad obligatoria antes del 2/08/2026 |
| Riesgo limitado | Chatbots, generadores de texto, herramientas de síntesis | Aviso visible de "tratamiento automatizado" para el usuario final |
| Riesgo mínimo | Filtros antispam, recomendaciones de contenido, correctores ortográficos | Sin obligación específica |
Cómo saber si vuestra herramienta está clasificada como de alto riesgo
Estáis en zona de alto riesgo si vuestra pyme usa una herramienta de IA para al menos uno de estos usos:
La prueba rápida: si vuestra herramienta de IA produce una puntuación, calificación o clasificación que influye directamente en una decisión sobre una persona — estáis en zona de alto riesgo.
Si usáis Workable, BambooHR, HireVue o cualquier herramienta de matching automático de CV: preguntad por escrito a vuestro proveedor si su sistema está clasificado como de alto riesgo según el Reglamento IA. Su respuesta (o su silencio) os dirá todo.
Caso ficticio: conformidad completa en 3 semanas — coste: 0 €
Así es como una pyme de e-commerce tipo de 45 empleados podría abordar su conformidad con el Reglamento IA.
Situación inicial:
Semana 1 — Inventario e identificación (2h de trabajo)
El equipo listó todas las herramientas de IA activas en 2 horas en una hoja de Google: nombre de la herramienta, proveedor, uso empresarial exacto, datos personales tratados, volumen mensual estimado.
El módulo de scoring crediticio fue identificado inmediatamente como sistema de alto riesgo. Se envió un email escrito (para crear un rastro documental) al proveedor solicitando la documentación técnica y el aviso de uso — obligatorio para cualquier proveedor de un sistema de IA de alto riesgo destinado a desplegadores de la UE.
Semana 2 — Documentación y ajustes (1h + respuesta del proveedor)
La documentación llegó en 5 días hábiles. Dos acciones en paralelo:
Se añadió un aviso de "tratamiento automatizado" en las condiciones generales del chatbot de atención al cliente (30 minutos de desarrollo). El director financiero fue designado responsable interno de IA — sin contratación, sin coste, solo una formalidad interna documentada por email.
Semana 3 — Registro y procedimiento (1h)
Creación del registro de uso de IA (hoja de Google, 5 columnas: nombre de la herramienta, uso empresarial, fecha de despliegue, fecha de desactivación si procede, responsable interno). Formación del director financiero sobre el módulo de scoring crediticio: 30 minutos, proporcionada gratuitamente por el proveedor.
Procedimiento interno establecido: el director financiero valida manualmente todas las decisiones superiores a 5.000 euros generadas por el módulo de scoring. Esta validación humana es precisamente lo que exige el Reglamento IA para los sistemas de alto riesgo.
Resultado: pyme conforme para el plazo del 2 de agosto de 2026. Coste total: 0 euros en software o proveedores externos, 8 horas de trabajo interno distribuidas en 3 semanas.
Neuraweb ofrece una auditoría de conformidad con el Reglamento IA gratuita para pymes — evaluación de riesgos y plan de acción en 48h. Solicitar una auditoría →
El plan de acción en 5 pasos: completar antes del 2 de agosto de 2026
Paso 1 — Inventariar todas vuestras herramientas de IA (2h)
Listadlo todo en una hoja de Google: nombre de la herramienta, proveedor, uso empresarial exacto, datos personales tratados (empleados, clientes, candidatos), volumen mensual estimado.
No olvidéis los módulos de IA integrados en vuestros SaaS existentes — las funciones de IA de HubSpot, Salesforce, Zendesk o vuestro ERP entran en el perímetro si tratan datos personales en un proceso de toma de decisiones.
Paso 2 — Clasificar el riesgo de cada herramienta (1h)
Para cada herramienta de la lista, haceos una sola pregunta: ¿produce este sistema puntuaciones, clasificaciones o decisiones que afectan directamente a personas físicas?
Si sí → clasificadla como de alto riesgo provisional y pasad al paso 3.
Si no → identificad si hay interacción directa con usuarios finales (riesgo limitado, aviso obligatorio) o ninguna (riesgo mínimo, sin acción).
Paso 3 — Solicitar documentación al proveedor (1 email, plazo 5 a 10 días)
Enviad un email escrito a cada proveedor de un sistema clasificado como de alto riesgo. Solicitad explícitamente:
El email escrito crea un rastro documental — imprescindible en caso de inspección. Si el proveedor rechaza o no puede proporcionar esta documentación: es una señal de alerta seria. Un proveedor conforme está legalmente obligado a ponerla a disposición. Cambiad de herramienta si es necesario.
Paso 4 — Implementar la supervisión humana (2h)
El Reglamento IA exige que un humano cualificado supervise y pueda impugnar las decisiones de los sistemas de alto riesgo. Tres acciones concretas:
Designad un responsable interno de IA (miembro del equipo existente, sin necesidad de contratación). Formadlo sobre el funcionamiento de la herramienta — vuestro proveedor está obligado a ofrecer esta formación. Documentad el procedimiento: quién valida qué, en qué plazo, con qué trazabilidad.
El procedimiento de supervisión es la pieza central de vuestro expediente de conformidad.
Paso 5 — Crear y mantener el registro de uso (1h de creación, 15 min/mes)
Los desplegadores de sistemas de alto riesgo deben mantener un registro de uso. Cinco columnas son suficientes:
Este registro es vuestra prueba de conformidad. Actualizadlo con cada nueva herramienta de IA desplegada o retirada.
Reparto de responsabilidades: vosotros y vuestro proveedor SaaS
Esta es la zona de confusión más frecuente en las pymes: "nuestro proveedor SaaS gestiona la conformidad por nosotros, ¿verdad?"
Parcialmente. El proveedor SaaS es responsable de la conformidad de su sistema — documentación técnica, marcado CE, registro en la UE. Vosotros, como desplegadores, seguís siendo responsables de:
Este reparto debe clarificarse mediante una addenda contractual con vuestro proveedor antes de agosto de 2026. Si vuestro contrato actual no menciona el Reglamento IA: enviad un email solicitando explícitamente la aclaración de las responsabilidades respectivas. La respuesta (o la ausencia de respuesta) es informativa.
Qué deben hacer las pymes según su situación
No usáis ninguna herramienta de IA en procesos de RRHH, crédito o evaluación — riesgo mínimo. Haced igualmente el inventario en 2 horas: estaréis tranquilos durante 12 meses y preparados para posibles inspecciones.
Usáis una herramienta de reclutamiento o evaluación con scoring automatizado — prioridad inmediata. Empezad por el email a vuestro proveedor esta semana. Los plazos de respuesta y documentación pueden tardar de 2 a 3 semanas.
Desarrolláis vosotros mismos una función de IA para vuestros clientes — sois proveedores, no solo desplegadores. Las obligaciones son considerablemente más pesadas: documentación técnica completa, análisis de conformidad, potencialmente marcado CE. Consultad a un abogado especializado en IA.
Operáis en sanidad, finanzas o infraestructuras — se aplican obligaciones sectoriales adicionales más allá del Reglamento IA. Se recomienda un análisis específico por parte de un asesor especializado antes de agosto de 2026.
---
Más para leer
Neuraweb realiza vuestra auditoría del Reglamento IA de forma gratuita — evaluación de riesgos, plan de acción en 48h y acompañamiento en la conformidad. Solicitar la auditoría →
Hablemos de tu proyecto
Llamada de descubrimiento de 30 min: haz tus preguntas, esbozamos una primera vía concreta.
30 min · sin compromiso
Reservar una citaIntegración IA en tu sitio
Chatbot, recomendaciones, búsqueda semántica: convierte tu sitio en una máquina de conversiones.
Descubrir el servicio