Qué es el AI Act y por qué te importa aunque seas autónomo
Imagínate esto: tienes un chatbot en tu WhatsApp que atiende clientes y agenda citas. Te ha ahorrado horas de trabajo. Un día llega una inspección, y resulta que llevas 6 meses incumpliendo una norma europea de la que no habías oído hablar. Suena exagerado, pero es el escenario al que se enfrentan miles de pymes desde febrero de este año.
El AI Act (Reglamento UE 2024/1689) es la primera ley del mundo que regula la inteligencia artificial a nivel continental. No es una guía voluntaria ni una recomendación: es de obligado cumplimiento en toda la UE, incluida España. Y no distingue entre empresas de 10 y de 10.000 empleados. Si usas IA en tu negocio, esta ley va contigo.
Ahora, respirar. Que te aplique no significa que estés haciendo algo mal. Significa que hay cosas que tienes que documentar y transparentar. El 68% de las empresas españolas que usan IA aún no ha empezado a prepararse, según datos del Observatorio Nacional de IA. Así que si ya estás leyendo esto, vas por delante.
Los 4 niveles de riesgo (y dónde caes tú)
El AI Act divide los sistemas de IA en cuatro categorías. Saber en cuál estás te dice exactamente qué tienes que hacer. Te lo resumo porque nadie entiende los artículos 6-7 del reglamento a la primera:
| Nivel | Qué incluye | Probablemente tú | Lo que toca hacer |
|---|---|---|---|
| Inaceptable | Scoring social, vigilancia masiva, manipulación | No | Ni lo pienses. Está prohibido desde feb 2025. |
| Alto riesgo | Selección de personal, scoring crediticio, justicia, educación | Solo si usas IA para filtrar CVs o evaluar personas | Documentación técnica, evaluación de impacto, supervisión humana obligada |
| Riesgo limitado | Chatbots, asistentes virtuales, IA generativa, deepfakes | Aquí está la mayoría | Informar al usuario de que habla con IA. Eso es. |
| Mínimo | Filtro de spam, productividad sin decisiones sobre personas | Quizá algunas herramientas | Nada específico |
La mayoría de las pymes que usan chatbots en WhatsApp, automatizaciones con n8n o Make, o que simplemente tienen a su equipo usando ChatGPT a diario, están en "riesgo limitado". Tu obligación principal: que el usuario sepa que habla con una máquina. Un mensaje de bienvenida como "Hola, soy el asistente virtual de [tu empresa]" vale como base.
Pero ojo: si tu chatbot aparte de atender también filtra candidatos, evalúa solicitudes de crédito o toma decisiones que afectan derechos de personas, saltas a "alto riesgo". Y ahí sí que necesitas asesoría.
España fue el primer país de la UE en crear su agencia supervisora: la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña. A marzo de 2026 ya habían abierto 23 investigaciones preliminares. No es papel mojado.
Lo que tienes que hacer (sin abogado y sin volverte loco)
Vamos al grano. Estas son las obligaciones reales según tu caso. No el resumen del reglamento: lo que tienes que tocar mañana por la mañana.
Si tienes chatbots o asistentes virtuales (riesgo limitado)
- Dile al usuario que habla con IA. Un mensaje inicial claro. No hace falta un anuncio legal: un "Soy el asistente virtual de X, ¿en qué puedo ayudarte?" funciona.
- Marca lo que genere IA. Si publicas textos, imágenes o audio producidos por IA, indica que lo son. Esto ya aplica desde febrero 2025.
- No subas datos sensibles a APIs externas. Si tu chatbot manda conversaciones con datos de clientes a ChatGPT o Claude, tienes un problema de RGPD además de AI Act.
Si usas IA para RRHH, scoring o decisiones sobre personas (alto riesgo)
- Documentación técnica del sistema
- Evaluación de impacto en derechos fundamentales (FRIA)
- Una persona revisando las decisiones críticas
- Registro de actividad (logs)
Para este caso realízate: busca asesoría. No es opcional.
Para todos, incluso si solo usas ChatGPT para escribir emails
El artículo 4 del AI Act exige que tu equipo reciba formación en IA. Desde febrero de 2025. Sí, esto te está pidiendo que hagas un cursillo. En la práctica basta con una sesión interna documentada: qué es la IA, qué puede hacer, qué no puede, qué datos nunca se suben. Renueva cada 12 meses. Pon la fecha en un Excel y ya está cumplido ese punto.
Multas: cuánto arriesgas de verdad
Esta es la parte que asusta, pero hay que leerla con cabeza. El AI Act tiene tres tramos de sanción:
| Infracción | Multa estándar | Multa para PYMEs |
|---|---|---|
| Prácticas prohibidas (IA de riesgo inaceptable) | Hasta 35M€ o 7% facturación | Lo menor entre ambos |
| Incumplimiento obligaciones (transparencia, documentación) | Hasta 15M€ o 3% facturación | Lo menor entre ambos |
| Información incorrecta a autoridades | Hasta 7,5M€ o 1% facturación | Lo menor entre ambos |
El matiz que cambia todo para las pymes: se aplica la cantidad menor, no la mayor. Si facturas 2 millones al año, el tope del segundo tramo te sale a 60.000€, no a 15 millones. Para una empresa de 200.000€ de facturación, serían 6.000€.
¿Siguen siendo un golpe? Claro. 6.000€ por no informar de que tu chatbot es un bot duele. Pero no es el apocaliptico titular que lees en LinkedIn. La sanción máxima de 35 millones está pensada para las grandes tecnológicas que incumplen sistemáticamente, no para el autónomo que no puso un mensaje de "soy un asistente virtual" en su WhatsApp.
Las sanciones para alto riesgo entran en vigor el 2 de agosto de 2026. Las prácticas prohibidas ya se sancionan desde febrero de 2025.
Tu caso real: casos que vemos cada semana
Te pongo ejemplos de los que nos llegan a BigLobster todos los meses. Delimitar tu riesgo es más fácil de lo que parece.
Clínica dental con chatbot de WhatsApp para citas
Un bot agenda citas, confirma 24h antes y responde las típicas preguntas ("¿atende por mutua?", "¿cuánto cuesta una limpieza?"). Usa n8n y GPT-4o por detrás.
Riesgo: limitado. No toma decisiones sobre derechos de personas, gestiona logística. Necesita: mensaje de transparencia, política de no subir datos clínicos a la API, y que alguien revise las conversaciones raras.
Gestoría que clasifica emails con IA
Automatización que lee emails entrantes y los clasifica en fiscal, laboral, nóminas... Usa un modelo de lenguaje para entender la intención.
Riesgo: mínimo o limitado. Necesita: inventario del sistema, política de qué datos se envían al modelo (no mandar nombres de clientes sin anonimizar), y la formación del artículo 4.
Instaladora con agente telefónico de voz
Un agente de IA atiende llamadas, pide datos básicos y agenda visitas técnicas. No filtra personas, solo gestiona la agenda.
Riesgo: limitado. El llamante debe saber que habla con IA. Punto. Eso y registrar cómo funciona el sistema.
Despacho que usa IA para seleccionar becarios
Un sistema que lee CVs, los puntúa y descarta automáticamente según criterios.
Riesgo: ALTO. El Anexo III del AI Act incluye "empleo y gestión de trabajadores" expresamente. Aquí sí o sí necesitas: documentación técnica, evaluación de impacto, supervisión humana y registro de actividad. Quieres hacer esto bien, contrata a un abogado.
AI Act y RGPD: son cosas distintas (aunque se toquen)
Si ya cumplías el RGPD y crees que con eso basta, te explico por qué no:
| RGPD | AI Act | |
|---|---|---|
| De qué va | Proteger datos personales | Regular el uso de sistemas de IA |
| Te aplica si | Tratas datos de personas | Usas IA (con o sin datos) |
| Transparencia | Informar del tratamiento de datos | Informar al usuario de que interactúa con IA |
| Evaluación de impacto | DPIA para tratamientos de alto riesgo | FRIA para sistemas de IA de alto riesgo |
Si ya tienes un DPIA del RGPD por algún tratamiento de datos, puedes ampliarlo con la parte del AI Act. Son complementarias, no sustitutivas. Que OpenAI cumpla con el AI Act desde su lado no te quita tus obligaciones como empresa que usa la herramienta.
Qué hacer esta semana (3 pasos, menos de 1 hora)
Menos de 2 meses para el 2 de agosto. Esto haría yo mañana con tu negocio:
- Inventario (30 minutos). Abre un Excel y lista toda la IA que usas. Chatbot de WhatsApp, automatizaciones con n8n/Make, ChatGPT, software de contabilidad con IA, CRM con asistente... Pon: nombre, qué hace, qué datos consume, quién lo usa. No hace falta ser exhaustivo: lo importante es que exista el listado.
- Clasifica (20 minutos). Para cada herramienta: ¿toma decisiones sobre personas? Si sí → alto riesgo, busca asesor. Si no → seguro limitado o mínimo. Aplica el paso 3.
- Transparencia (10 minutos). Si tienes un chatbot, revisa que el usuario sepa que habla con IA. Si tu equipo usa ChatGPT, redacta un documento de una página: qué se puede subir, qué no. Programa una sesión interna de 30 minutos explicando qué es la IA y sus límites. Guarda la fecha y la lista de asistentes.
"El 68% de las empresas españolas no ha empezado a prepararse. Si haces el inventario, clasificas y pones transparencia, ya estás por delante de la mayoría. AESIA ha dicho que priorizará la acción educativa los primeros 6 meses. Pero 'educativa' no significa 'no pasa nada': si alguien presenta una queja, que no hayas empezado no te exime."
Preguntas frecuentes
¿El AI Act se aplica a autónomos sin empleados?
Sí. El AI Act no hace excepciones por tamaño. Si eres autónomo y usas un chatbot, automatizaciones o herramientas de IA generativa, te aplica. Las obligaciones son proporcionales: la mayoría de autónomos están en "riesgo limitado" y solo necesitan transparencia.
¿Tengo que quitar mi chatbot de WhatsApp?
No. El AI Act no prohíbe los chatbots. Lo que exige es que el usuario sepa que habla con IA. Si tu chatbot atiende consultas, gestiona citas o responde FAQs, no lo quites. Pon un mensaje informativo y sigue funcionando.
¿Desde cuándo me pueden multar?
Las sanciones por sistemas de alto riesgo entran en vigor el 2 de agosto de 2026. Las prácticas prohibidas (riesgo inaceptable) ya se sancionan desde febrero de 2025. AESIA ha anunciado que durante los primeros 6 meses de aplicación plena priorizará la educación sobre la sanción, pero a partir de febrero de 2027 cambia el tono. No apures al último día.
¿Necesito un abogado?
Para la mayoría de pymes con uso básico de IA (chatbots, automatizaciones comunes, ChatGPT como herramienta), no. El checklist de este artículo cubre suficiente. Si en cambio usas IA para seleccionar personal, evaluar crédito o tomar decisiones sobre personas, busca asesoría legal especializada.
¿Y si no hago nada antes del 2 de agosto?
Técnicamente, las infracciones serán sancionables. En la práctica, habrá un periodo de adaptación. Pero que haya práctica no sea tu plan. Hacer el inventario y documentar lo que tienes te sirve como atenuante si algo sale mal. Y además, el AI Act es solo una parte: si tienes.chatbot con datos de clientes, el RGPD ya te aplica. Cumplir no es opcional, es cuestión de cuándo, no de si.
¿Las herramientas que uso ya cumplen el AI Act por su lado?
OpenAI, Anthropic, Google y otros proveedores tienen obligaciones desde agosto de 2025. Pero tú, como empresa que usa esas herramientas (el "deployer"), tienes las tuyas propias: documentar qué datos les mandas, tener una política de uso interno, y asegurar que un humano revisa lo que toca. Que ellos cumplan no te exime a ti.
¿Quieres cumplir el AI Act sin complicaciones?
En BigLobster implementamos soluciones de IA y nos aseguramos de que cumplan la normativa. Desde auditar lo que ya tienes hasta documentar tu cumplimiento. Hablemos.
Hablar con un experto →