EU AI ActComplianceChecklistSMEs

Lista de verificación de cumplimiento del Reglamento de IA de la UE para pymes: una hoja de ruta de 9 pasos

Publicado 18 de julio de 2026 · 6 min de lectura

El Reglamento de IA de la UE puede resultar abrumador. Dividido en pasos, es manejable, incluso para un equipo pequeño sin un responsable de cumplimiento específico. Esta es la hoja de ruta que recorremos con las pymes, con el artículo que respalda cada paso para que pueda comprobar la fuente.

Primero: lo que ya se aplica hoy

No todo está en el futuro. Tres obligaciones ya son exigibles, así que trátelas como cuestiones de «actuar ahora»:

  • Prácticas prohibidas (artículo 5) prohibidas desde el 2 de febrero de 2025. Ningún sistema de IA puede llevarlas a cabo, sea cual sea su tamaño.
  • Alfabetización en materia de IA (artículo 4) desde el 2 de febrero de 2025, los proveedores y los responsables del despliegue deben garantizar que el personal que opera la IA tenga un nivel suficiente de alfabetización en materia de IA. Consulte nuestra guía de alfabetización en materia de IA.
  • Obligaciones para los modelos de IA de uso general (capítulo V) se aplican a partir del 2 de agosto de 2025, con exigibilidad a partir del 2 de agosto de 2026.

Las obligaciones de alto riesgo, las más exigentes, se han pospuesto mediante el Digital Omnibus hasta el 2 de diciembre de 2027 (anexo III) y el 2 de agosto de 2028 (anexo I), ambas adoptadas, a la espera de su publicación en el Diario Oficial. Eso es un margen para prepararse, no una razón para esperar.

La hoja de ruta de 9 pasos

  1. Cree un inventario de IA. Enumere todos los sistemas de IA que desarrolle o utilice. Esto no es un artículo legal en sí mismo; es la condición previa práctica para todo lo que sigue, porque no se puede clasificar lo que no se ha catalogado.
  2. Conozca su función. El Reglamento asigna diferentes obligaciones a un proveedor, un responsable del despliegue, un importador y un distribuidor (definidos en el artículo 3; las obligaciones del proveedor en el artículo 16 y las del responsable del despliegue en el artículo 26). La mayoría de las pymes son responsables del despliegue de la IA de otros, un conjunto de obligaciones más ligero que el de un proveedor.
  3. Clasifique el riesgo de cada sistema. Clasifique cada uno en una categoría: prohibido (artículo 5), de alto riesgo (artículo 6 y anexo III), de riesgo limitado o de transparencia (artículo 50), o mínimo. Los modelos de IA de uso general se rigen por el capítulo V. Nuestro verificador de riesgo lo hace en un par de minutos.
  4. Cubra la alfabetización en materia de IA. Proporcione a las personas que operan su IA la formación suficiente para utilizarla de forma responsable (artículo 4).
  5. Cumpla las obligaciones de la categoría. Para los sistemas de alto riesgo, eso significa gestión de riesgos, gobernanza de datos, supervisión humana (artículo 14), y precisión y solidez (artículo 15).
  6. Mantenga el expediente técnico. Los proveedores de sistemas de alto riesgo deben elaborar y mantener la documentación técnica del anexo IV antes de que el sistema salga al mercado (artículo 11).
  7. Añada avisos de transparencia. Informe a las personas cuando estén interactuando con un sistema de IA y etiquete el contenido generado o manipulado por IA (artículo 50).
  8. Registre y supervise. Conserve los registros y los archivos de registro generados automáticamente (artículos 12 y 19), y lleve a cabo una vigilancia poscomercialización (artículo 72).
  9. Registre los sistemas de alto riesgo. Los proveedores se registran a sí mismos y a su sistema del anexo III en la base de datos de la UE antes de introducirlo en el mercado (artículos 49 y 71).

Los plazos de un vistazo

En vigor ahora: las prácticas prohibidas y la alfabetización en materia de IA (2 de febrero de 2025) y las obligaciones para la IA de uso general (2 de agosto de 2025). A partir del 2 de agosto de 2026: la aplicación general del Reglamento y las normas de transparencia. Adoptadas, a la espera de su publicación en el Diario Oficial: la obligación de marcado del contenido sintético y una nueva prohibición sobre las imágenes íntimas no consentidas y el material de abuso sexual infantil (2 de diciembre de 2026), el anexo III de alto riesgo (2 de diciembre de 2027) y el anexo I (2 de agosto de 2028). Nuestra guía de plazos mantiene actualizada la tabla completa.

Dónde encajan las sanciones

Incumplir estas obligaciones es lo que le expone a multas: hasta EUR 35M o el 7 % del volumen de negocios por prácticas prohibidas, aunque para las pymes el límite es el menor de los dos. Consulte lo que realmente arriesgan las pymes de la UE para conocer los detalles.

Empiece con una comprobación de 2 minutos

La forma más rápida de convertir esta lista de verificación en un plan es ver cuáles de sus sistemas están dentro del ámbito de aplicación. Ejecute gratis el EU AI Act Snapshot, sin registro, o explore los planes, que comienzan en EUR 0.

Guías relacionadas