Vai al contenuto principale
Todos los recursos
Conformidad IA · · 9 min de lectura

EU AI Act para las pymes: qué cambia de verdad (y qué no)

¿Tiene usted también que adecuarse al AI Act? Para casi todas las pymes la respuesta es más tranquila de lo previsto. Deployer frente a proveedor, los cuatro niveles de riesgo, cuándo la carga se vuelve seria, la relación con el RGPD y la EIPD y el marco italiano del Garante —en lenguaje llano y sin alarmismos.

Desde que el EU AI Act entró en vigor, la pregunta que oímos con más frecuencia de empresarios y directivos de pymes es una sola, y nace de la ansiedad: «¿me tengo que adaptar yo también? ¿Y cuánto me cuesta?». La respuesta breve, para la gran mayoría de las pequeñas y medianas empresas italianas, es más tranquilizadora de lo que la prensa da a entender — pero hay que entenderla bien, porque «tranquilo» no quiere decir «no me concierne».

Intentemos poner orden, en lenguaje llano, sobre qué cambia de verdad para una pyme y — igual de importante — sobre qué no cambia.

Primera distinción: usted es un usuario, no un productor

El AI Act separa netamente dos roles, y para entender sus obligaciones debe saber en cuál se encuentra. El proveedor (provider) es quien desarrolla o introduce en el mercado un sistema de IA: OpenAI, Google, una software house que vende un modelo propio. El usuario (deployer) es quien usa ese sistema en su propia actividad — la empresa que adopta un copiloto para las ventas, un asistente para el soporte al cliente, una herramienta para generar contenidos de marketing.

Casi todas las pymes son deployer, no provider. Es una buena noticia: las obligaciones del artículo 26 del AI Act, las que recaen sobre quien usa la IA, son reales pero mucho más ligeras que las impuestas a quien la construye. El grueso del peso normativo queda aguas arriba, en el proveedor.

Los cuatro niveles de riesgo (y dónde acaba casi toda la IA de una pyme)

El corazón del AI Act es un enfoque basado en el riesgo: no todos los usos de la IA se tratan de la misma manera. La síntesis oficial del reglamento define cuatro niveles:

  • Riesgo inaceptable — prohibido. Sistemas como el social scoring de corte gubernamental o la manipulación conductual. No es terreno de empresa: sencillamente no se pueden usar.
  • Riesgo alto — permitido, pero con obligaciones serias. Afecta a usos «sensibles» enumerados en el Anexo III: selección y gestión del personal, scoring crediticio, identificación biométrica, educación, servicios esenciales. Aquí la IA decide sobre derechos y oportunidades de las personas.
  • Riesgo limitado — obligaciones de transparencia. El caso típico: un chatbot debe declarar al usuario que está hablando con una máquina; un contenido generado por la IA debe señalarse como tal.
  • Riesgo mínimo — ninguna obligación específica. Filtros antispam, sugerencias internas, la mayor parte de los copilotos de productividad.
Los cuatro niveles de riesgo del AI Act
  1. Riesgo inaceptable

    Prohibido — social scoring, manipulación conductual. Fuera del terreno de empresa.

  2. Riesgo alto

    Permitido, pero con obligaciones serias (Anexo III): personal, crédito, biometría, servicios esenciales.

  3. Riesgo limitado

    Obligaciones de transparencia — un chatbot debe declararse como tal, un contenido de IA debe señalarse.

  4. Riesgo mínimo

    Ninguna obligación específica. Aquí recae casi toda la IA de una pyme: copilotos, borradores, antispam.

La base es la más ancha a propósito: la gran mayoría de los usos de IA de una pyme recae en los niveles mínimo y limitado. Fuente: síntesis oficial del EU AI Act (artificialintelligenceact.eu).
El punto que da la vuelta a la ansiedad inicial: los usos de IA más comunes en una pyme — un asistente para las ventas, la generación de borradores de marketing, un bot de soporte interno, la automatización de tareas de operations — recaen casi siempre en riesgo limitado o mínimo. La maquinaria pesada del artículo 26 se activa solo para los usos de alto riesgo.

Cuándo la carga se vuelve seria de verdad

Vale la pena saber cuándo se entra en la franja exigente, porque es ahí donde un proyecto debe diseñarse con atención desde el principio. Si usa la IA para decisiones sobre el personal (cribado de CV, evaluaciones, promociones), para evaluar la solvencia crediticia de un cliente, o para identificación biométrica, está con toda probabilidad en el ámbito de alto riesgo. En ese caso el artículo 26 pide al deployer, entre otras cosas:

  • usar el sistema según las instrucciones del proveedor;
  • garantizar una supervisión humana efectiva sobre las decisiones;
  • asegurarse de que los datos de entrada sean pertinentes para la finalidad;
  • monitorizar su funcionamiento y conservar los logs durante al menos seis meses;
  • notificar los incidentes graves.

No es un cumplimiento imposible, pero tampoco es «encender la herramienta y listo». La regla práctica es sencilla: los usos de alto riesgo deben mantenerse separados desde el diseño del proyecto, no descubrirse a posteriori. Es la razón por la que, en nuestro método, cada workflow lleva consigo un nivel de riesgo declarado antes incluso de elegir la herramienta.

Atención: el RGPD no ha desaparecido

Un error frecuente es pensar que el AI Act sustituye a la privacidad. Es lo contrario: se añade. Si el uso que usted hace de la IA trata datos personales — y casi siempre es así — sigue en juego el RGPD, con un paso a menudo pasado por alto: la evaluación de impacto (EIPD) del artículo 35. Es obligatoria cuando el tratamiento es «probablemente de alto riesgo», y tres casos la activan de forma automática: decisiones automatizadas con efectos jurídicos o significativos, tratamiento a gran escala de categorías especiales de datos, monitorización sistemática de áreas públicas.

Hay un detalle en el que las plantillas de EIPD genéricas fallan: nacieron antes de la IA y no cubren riesgos específicos de los sistemas inteligentes — la opacidad del modelo, la memorización de los datos de entrenamiento, la deriva de las respuestas con el tiempo, el conflicto entre el derecho de supresión y un modelo ya entrenado. Una EIPD seria para la IA necesita una sección dedicada a estos riesgos, no el habitual formulario copiado.

En Italia: el Garante Privacy ya está trabajando

En Italia el marco no es solo europeo. La autoridad italiana de protección de datos (Garante Privacy) mantiene una página temática sobre la inteligencia artificial que actualiza con frecuencia, y está activamente comprometida en verificaciones sobre el uso de la IA. En el plano legislativo, el país se ha dotado de un marco propio de principios generales sobre la IA que, entre otras cosas, amplía el ámbito de la evaluación de impacto respecto a la sola base del RGPD. Es un área en movimiento: antes de dar por sentada una obligación específica conviene siempre verificar el texto vigente, porque las reglas y las sanciones se están definiendo justo ahora.

¿Y los plazos? La verdad es que son un objetivo móvil

Muchos artículos alarmistas giran en torno a una fecha precisa. La realidad es más matizada: el AI Act no entró en vigor todo de golpe, sino de forma escalonada a lo largo de varios años, y parte del calendario ha sido reabierto y renegociado por las instituciones europeas — algunos plazos para los usos de alto riesgo se han aplazado mientras escribimos. Traducido para quien dirige una empresa: perseguir la fecha concreta es menos útil que conocer la dirección.

La dirección es clara y no cambiará: transparencia sobre los usos visibles, supervisión humana sobre los usos que afectan a las personas, trazabilidad de lo que la IA decide. Quien configura bien estas tres cosas está listo sea cual sea la fecha definitiva.

Qué hacer ahora, en la práctica

No hace falta un proyecto de conformidad de gran empresa. Para una pyme el camino razonable es corto:

  • Haga el inventario de dónde ya usa la IA (a menudo más de lo que piensa: herramientas de escritura, CRM, soporte). Para cada uno, pregúntese en qué nivel de riesgo recae.
  • Aísle los usos sensibles — personal, crédito, biometría: son los únicos que requieren la maquinaria del artículo 26. Trátelos aparte, con controles dedicados.
  • Ponga transparencia y supervisión humana donde la IA habla con los clientes o incide en una decisión. Son los controles de mayor retorno y menor coste.
  • Compruebe si necesita una EIPD y, si es así, que cubra los riesgos específicos de la IA y no solo el RGPD genérico.

Es exactamente la lógica de nuestro overlay de conformidad: a cada AI Workflow Design que diseñamos enganchamos el nivel de riesgo del AI Act, el control EIPD, la etiqueta de riesgo según una taxonomía reconocida (MIT AI Risk Repository) y la nota italiana donde hace falta. La conformidad no es un capítulo separado que abordar después: es parte del diseño, desde el primer día.

El punto de partida es siempre el mismo

Antes incluso que la conformidad viene la posición: entender dónde está y desde qué departamento conviene empezar. Si aún no lo ha hecho, el primer paso es medir su AI readiness — luego, departamento por departamento, se elige qué automatizar y con qué controles alrededor. Automatizar sin controles es la forma más rápida de tener que pararse después; automatizar con los controles adecuados es lo que hace que un injerto sea capaz de arraigar y durar.

Hemos transformado este primer paso en una evaluación self-serve y gratuita: pocas preguntas y una indicación sobre por dónde empezar, con cuánta atención a la conformidad. Haga la evaluación de AI-readiness — luego, si tiene sentido, hablamos.

Este artículo tiene una finalidad puramente orientativa y refleja el marco normativo en una fase en la que varios plazos del EU AI Act están todavía en vías de definición: no constituye asesoramiento jurídico ni una evaluación de conformidad. Para los cumplimientos concretos de su empresa remítase al texto vigente del reglamento, a las indicaciones del Garante Privacy y a un apoyo legal cualificado.

De la teoría a su negocio. Injertamos la IA.

¿Quiere entender por qué departamento conviene empezar en su empresa? La evaluación gratuita le da una primera respuesta en dos minutos — luego, si tiene sentido, lo hablamos.

Utilizamos cookies

Utilizamos cookies y tecnologías similares para mejorar su experiencia, analizar el tráfico y personalizar los contenidos. Puede aceptar todas las cookies o personalizar sus preferencias.

Preferencias de cookies

Cookies necesarias Siempre activas

Esenciales para el funcionamiento del sitio. No se pueden desactivar.

Cookies analíticas

Nos ayudan a entender cómo utiliza el sitio para mejorar la experiencia.

Cookies de marketing

Se utilizan para mostrarle anuncios relevantes y medir las campañas.

Cookies de personalización

Permiten personalizar contenidos y funcionalidades.