AI Act agosto 2026: checklist técnico para pymes españolas

·

El 2 de agosto de 2026 es la fecha que más empresas tienen marcada en rojo cuando hablan del AI Act (Reglamento UE 2024/1689). Y con razón: ese día entran en aplicación las obligaciones de transparencia hacia los usuarios (artículo 50), la supervisión del mercado por parte de la AESIA —la Agencia Española de Supervisión de la Inteligencia Artificial— y el régimen completo para los modelos de IA de propósito general (GPAI). Sin embargo, hay un dato que muchas guías todavía no incorporan: el acuerdo provisional del Digital Omnibus de mayo de 2026 aplazó las obligaciones más exigentes de los sistemas de alto riesgo del Anexo III del 2 de agosto de 2026 al 2 de diciembre de 2027. Eso no significa que puedas respirar tranquilo y no hacer nada. Significa que tienes que distinguir qué te afecta ahora y qué tienes hasta diciembre de 2027 para resolver.

En Summum llevamos desde 2007 ayudando a pymes a navegar marcos regulatorios complejos. Este artículo recoge el estado normativo exacto a junio de 2026 y un checklist técnico ordenado por urgencia para que puedas actuar, no solo leer.

El mapa de fechas del AI Act: qué está en vigor y qué espera

El AI Act entró en vigor el 1 de agosto de 2024, pero su aplicación es escalonada. Antes de hacer cualquier checklist, es imprescindible saber qué obligación cae en qué momento:

Fecha Qué entra en aplicación A quién afecta principalmente
2 feb. 2025 Prohibición de prácticas de IA inaceptables (art. 5) + obligación de alfabetización en IA (art. 4) Todas las empresas que usen IA
2 ago. 2025 Reglas para modelos GPAI: documentación técnica, política de derechos de autor, resumen de datos de entrenamiento Proveedores de modelos fundacionales (OpenAI, Mistral, etc.)
2 ago. 2026 Transparencia con usuarios (art. 50), supervisión de mercado AESIA, obligaciones de deployers GPAI Toda empresa que despliegue chatbots, generadores de contenido, deepfakes o sistemas de interacción directa con personas
2 dic. 2027 (antes ago. 2026, aplazado por Digital Omnibus) Sistemas de alto riesgo Anexo III: documentación técnica completa, gestión de riesgos, supervisión humana, evaluación de conformidad Empresas que usen IA en RRHH, crédito, seguros, educación, infraestructura crítica, servicios públicos
2 ago. 2027 Modelos GPAI en servicio antes de agosto 2025: deben cumplir el reglamento Proveedores de modelos fundacionales legacy

Conclusión práctica: si tu empresa usa IA pero no la desarrolla, y no cae en los sectores de alto riesgo del Anexo III, tu obligación crítica para agosto de 2026 se concentra en transparencia, alfabetización y gestión de proveedores GPAI. Dicho esto, la mayoría de las pymes tienen al menos uno o dos puntos que resolver antes de esa fecha.

Qué prohíbe el AI Act desde febrero de 2025 (ya en vigor)

Antes de mirar agosto de 2026, recuerda que estas prácticas están prohibidas desde el 2 de febrero de 2025 y la AESIA puede actuar desde ya:

Si alguno de tus proveedores tecnológicos usa alguna de estas técnicas, eres tú —como deployer— quien asume parte de la responsabilidad. Revisa tus contratos.

El checklist técnico para agosto de 2026

Lo que sigue es un checklist ordenado de mayor a menor urgencia para una pyme española típica que usa herramientas de IA de terceros (copilots, chatbots, generadores de texto/imagen, asistentes de RRHH). Si desarrollas tu propio modelo, los requisitos son más exigentes: contacta con nuestro equipo de cumplimiento técnico del AI Act para una hoja de ruta personalizada.

1. Inventario de sistemas de IA (ya deberías tenerlo)

Sin un inventario no puedes clasificar, y sin clasificar no puedes cumplir. Para cada herramienta de IA que uses en tu empresa, documenta:

2. Programa de alfabetización en IA (art. 4 — obligatorio desde feb. 2025)

El artículo 4 exige que proveedores y deployers de IA garanticen un nivel suficiente de alfabetización en IA para todo el personal que diseñe, opere o supervise sistemas de IA. Esto no es un curso de moda, es una obligación legal. El programa debe ser proporcional al nivel de exposición de cada persona y quedar documentado. En la práctica, para una pyme de 20-50 personas, esto suele traducirse en:

3. Transparencia hacia usuarios finales (art. 50 — 2 agosto 2026)

Este es el punto que más empresas tienen pendiente. Desde el 2 de agosto de 2026, si tu empresa usa un sistema de IA que interactúa directamente con personas, estás obligada a informarles. Las situaciones más comunes en pymes son:

La sanción por incumplir el artículo 50 puede alcanzar los 7,5 millones de euros o el 1% de la facturación anual global, el importe mayor de los dos (artículo 99.4 del Reglamento).

4. Revisión de contratos con proveedores de modelos GPAI

Si usas herramientas basadas en modelos de propósito general —ChatGPT, Claude, Gemini, Copilot, Mistral, LLaMA y cualquier derivado— eres un deployer de GPAI. El AI Act establece que los proveedores de estos modelos deben entregarte:

Comprueba que tus contratos actuales con estos proveedores incluyen estas garantías o que los proveedores las han publicado públicamente en sus páginas de cumplimiento. Si hay huecos, documenta el intento de obtener la información: demuestra diligencia.

5. Política interna de uso de IA

Muchas pymes usan IA sin ningún documento interno que regule cómo, quién y para qué. Esto es un riesgo legal y operativo. Una política de uso de IA no tiene por qué ser un documento de 50 páginas: con 3-5 páginas que cubran los puntos siguientes es suficiente para una pyme:

6. Evaluación de riesgo para el 2 de diciembre de 2027

Aunque el plazo se ha ampliado, conviene empezar ahora. El Digital Omnibus aplazó las obligaciones de los sistemas de alto riesgo del Anexo III, pero no las eliminó. Si tu empresa usa IA en alguno de estos ámbitos, tendrás que cumplir requisitos mucho más exigentes antes de diciembre de 2027:

Para estos casos, la hoja de ruta técnica es significativamente más compleja e incluye un sistema de gestión de riesgos formal, gobernanza de datos, registros de eventos, supervisión humana estructurada y, en algunos casos, evaluación de conformidad por un tercero notificado. Nuestro equipo de cumplimiento técnico del AI Act para pymes puede ayudarte a determinar exactamente en qué categoría cae cada sistema y qué documentación necesitas.

Tabla resumen: obligaciones de agosto 2026 por perfil de empresa

Perfil de empresa Obligación clave antes de ago. 2026 Esfuerzo estimado
Pyme que usa chatbot de atención al cliente Aviso de interacción con IA en primer contacto (art. 50) Bajo (1-2 días de implementación)
Empresa que publica contenido generado con IA Etiquetado de contenido sintético visible (art. 50) Bajo-medio (requiere revisión de procesos de publicación)
Cualquier empresa con empleados que usen IA Programa de alfabetización documentado (art. 4) Medio (formación + registro)
Empresa que usa herramientas GPAI (Copilot, ChatGPT, etc.) Revisión contractual con proveedores + inventario Medio (2-5 días de auditoría)
Empresa con IA en selección de personal, crédito o educación Evaluación de alto riesgo + hoja de ruta hasta dic. 2027 Alto (proyecto de 3-9 meses)

El papel de la AESIA y el marco sancionador en España

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña y creada por Real Decreto 729/2023, es la autoridad nacional de control del AI Act en España. A partir del 2 de agosto de 2026, asume plenas funciones de supervisión del mercado y puede iniciar procedimientos sancionadores. Las multas del AI Act son de tres niveles:

Para microempresas y pymes, el AI Act prevé multas reducidas y acceso prioritario a sandboxes regulatorios, pero no exención completa. La diligencia documentada —aunque no se haya completado el cumplimiento total— es un factor atenuante reconocido explícitamente en el reglamento.

Qué tiene que ver la ISO 42001 con el AI Act

Muchas empresas preguntan si certificarse en ISO 42001 (el sistema de gestión de IA publicado en 2023) les sirve para cumplir el AI Act. La respuesta corta es: no es equivalente, pero ayuda. La ISO 42001 es un marco voluntario que estructura la gobernanza de IA en la organización; el AI Act es regulación con fuerza de ley. Sin embargo, implantar ISO 42001 genera buena parte de la documentación que exige el AI Act (política de IA, evaluación de impacto, registros de incidencias, revisión por dirección), lo que acelera el proceso de cumplimiento regulatorio. Si tu empresa tiene o planea tener la ISO 42001, el equipo de Summum Calidad puede ayudarte a mapear qué controles cubren los requisitos del AI Act y qué huecos quedan.

Preguntas frecuentes

¿El AI Act me obliga aunque solo use IA de terceros (no la desarrollo yo)?

Sí. El AI Act distingue entre proveedores (quienes desarrollan o ponen el sistema en el mercado) y deployers (quienes usan el sistema en un contexto profesional). Si usas un chatbot, un copilot o cualquier herramienta de IA en tu actividad empresarial, eres un deployer y tienes obligaciones propias: garantizar la alfabetización de tu equipo, informar a los usuarios cuando interactúen con IA y no usar la herramienta para fines prohibidos. La responsabilidad no recae solo en el proveedor tecnológico.

El Digital Omnibus aplazó el alto riesgo: ¿puedo esperar hasta 2027 para hacer algo?

No. El aplazamiento del Digital Omnibus afecta exclusivamente a los sistemas de alto riesgo del Anexo III. Las obligaciones de prácticas prohibidas (ya en vigor desde febrero 2025), alfabetización (febrero 2025), modelos GPAI (agosto 2025) y transparencia (agosto 2026) no han cambiado. Esperar hasta 2027 sin actuar en estos frentes es una decisión de riesgo regulatorio significativo.

¿Cuánto tiempo lleva prepararse para agosto de 2026?

Para una pyme que no sea de alto riesgo, el proceso de cumplimiento básico para agosto de 2026 suele llevar entre 4 y 10 semanas: inventario de sistemas (1-2 semanas), revisión contractual (1-2 semanas), diseño y ejecución del programa de alfabetización (2-4 semanas) y ajuste de los avisos de transparencia en los canales digitales (1-2 semanas). Muchos de estos pasos pueden solaparse. En Summum hemos acompañado este proceso a empresas de distintos sectores y tenemos metodología probada para acortar plazos sin dejar huecos.

¿Qué pasa si mi proveedor de IA no me facilita la documentación técnica que pide el AI Act?

Documenta el intento. Envía una solicitud formal por escrito al proveedor pidiendo la información requerida por el artículo 13 (sistemas de alto riesgo) o los artículos correspondientes a GPAI. Si el proveedor no responde o no facilita la documentación, tienes dos opciones: buscar un proveedor alternativo que cumpla, o valorar si el riesgo de continuar con ese proveedor es asumible. La AESIA puede requerir esta documentación en una inspección; no tenerla por causa del proveedor puede ser atenuante, pero documentar la diligencia es imprescindible.