Ley de IA en España 2026: lo que tu pyme debe saber antes de agosto
El Gobierno aprobó a finales de mayo el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. Suena a algo lejano, de esos temas que solo afectan a las grandes tecnológicas. Pero no. Si usas ChatGPT para redactar emails, tienes un chatbot en WhatsApp o cualquier herramienta automatizada que hable con tus clientes, esta ley te toca directamente.
El problema es que la mayoría de pymes españolas no lo sabe. Según el INE, más de la mitad de las empresas de servicios ya usa alguna herramienta con IA. Y muy pocas han hecho los deberes para cumplir con la normativa que llega este agosto.
Vamos a ver qué cambia exactamente, qué tienes que hacer, qué puede pasar si no lo haces y cómo prepararte sin necesitar un equipo legal de 10 personas.
Ley de IA española vs. AI Act europeo: no son lo mismo
Hay dos normativas que se cruzan aquí, y conviene no liarlas:
- AI Act (Reglamento Europeo de IA): aprobado en 2024, lleva dos años en vigor de forma escalonada. Establece cuatro niveles de riesgo y obligaciones para sistemas de IA en toda la UE.
- Ley Orgánica de IA española: aprobada por el Consejo de Ministros en mayo 2026, adapta la normativa europea al ordenamiento jurídico español. Establece los organismos de supervisión, el régimen sancionador y cómo se aplica todo esto dentro de nuestras fronteras.
En la práctica, la ley española es quien te vigila a ti. Es quien pone la multa. Es quien decide si tu chatbot cumple o no. La AI Act marca las reglas del juego; la ley española las ejecuta con nombre y apellido.
El organismo encargado de todo esto es la AESIA (Agencia Española de Supervisión de Inteligencia Artificial), con sede en A Coruña. España fue el primer país de la UE en crear una agencia específica para esto, lo que da una idea de la seriedad del asunto.
Fechas clave del calendario regulatorio
Esto no es algo que venga "algún día". Ya está aquí:
| Fecha | Qué entró o entra en vigor | Impacto para tu pyme |
|---|---|---|
| 1 de agosto de 2024 | AI Act entra en vigor | Comienza el reloj regulatorio |
| 2 de febrero de 2025 | Prohibición de prácticas inaceptables + obligación de alfabetización en IA | Ya es obligatorio que tu equipo entienda los riesgos de la IA que usa |
| 2 de agosto de 2025 | Obligaciones para modelos de propósito general (GPT, Claude, Gemini...) | Los proveedores deben cumplir; afecta a cómo los usas tú |
| 2 de agosto de 2026 | Aplicación plena: AESIA inspecciona y sanciona | Fecha crítica. Todo debe estar documentado |
| 2 de agosto de 2027 | IA integrada en productos regulados (marcado CE) | Fabricantes e integradores en sectores específicos |
Ahí lo tienes: el 2 de agosto de 2026, menos de dos meses después de que leas esto, la AESIA empieza a inspeccionar de verdad. Lo que no esté documentado para entonces, puede costarte dinero.
Existe el debate sobre si el Digital Omnibus —una revisión normativa europea aprobada por el Parlamento en marzo de 2026— aplazará algunas obligaciones hasta diciembre de 2027. Pero incluso en ese caso, la obligación de alfabetización en IA (artículo 4) y las prácticas prohibidas siguen vigentes. Y hasta que el Consejo de la UE adopte formalmente el texto, agosto de 2026 sigue siendo el plazo legal.
¿A quién afecta la ley?
Afecta a cualquier empresa —incluidos autónomos— que use, desarrolle o ponga en marcha sistemas de IA: chatbots, asistentes virtuales, generadores de contenido, herramientas de toma de decisiones automatizadas, sistemas de análisis biométrico, y un largo etcétera.
Pongamos ejemplos concretos que se leen como un catálogo de lo que hace cualquier pyme hoy en día:
- Tienes un chatbot que atiende consultas por WhatsApp los fines de semana → la ley te afecta.
- Usas ChatGPT Plus para redactar copy de productos y publicaciones en redes → la ley te afecta.
- Tu CRM usa IA para puntuar leads automáticamente → la ley te afecta.
- Empleas un software de RRHH que filtra CVs con IA → la ley te afecta, y además estás en zona de alto riesgo.
- Usas Copilot de Microsoft para resumir reuniones → la ley te afecta.
Si usas IA y tienes un negocio en España, la ley es para ti. Da igual si tienes 1 empleado o 500.
Las 4 obligaciones concretas que ya deberías estar cumpliendo
No toda la normativa es igual de pesada para todos. Las obligaciones reales dependen del nivel de riesgo del sistema que uses. Pero hay cuatro que aplican prácticamente a cualquier pyme:
Obligación 1: Transparencia — tus clientes deben saber que hablan con IA
Si tienes un chatbot o un asistente virtual, tus clientes tienen que saber que están interactuando con una máquina, no con una persona. Esto ya era una buena práctica de la AI Act desde agosto de 2024. Ahora, con la ley española, es directamente auditable.
No basta con un pequeño texto al pie de la web. La comunicación debe ser clara y entendible. Si tu chatbot dice "Hola, soy María, tu asistente" y es una IA, estás incumpliendo.
Obligación 2: Alfabetización en IA — tu equipo debe entender lo que usa
El artículo 4 del AI Act obliga desde febrero de 2025 a que las personas de tu equipo que usen herramientas de IA tengan un nivel suficiente de comprensión sobre los riesgos, limitaciones y marco legal de esos sistemas.
Traducido: no basta con que tu empleado sepa usar ChatGPT. Tiene que entender qué puede hacer mal con él, qué riesgos hay al meter datos de clientes en una herramienta de terceros, y cuándo la IA se inventa cosas.
Esto es inspeccionable desde agosto de 2026. La AESIA puede pedirte documentación de las formaciones realizadas: quién se formó, cuándo, sobre qué herramientas, y qué criterio seguiste para definir el contenido y la duración.
Obligación 3: Protección de datos en tus herramientas de IA
Muchos autónomos y pymes meten información de clientes —nombres, direcciones, datos de pedidos, contratos— en herramientas como ChatGPT, Claude o Gemini sin leer las políticas de privacidad. A veces para redactar una respuesta, a veces para analizar datos.
La ley refuerza que tú eres responsable de esos datos. Necesitas saber:
- Dónde se almacenan los datos que introduces en cada herramienta.
- Si el proveedor los usa para entrenar sus modelos (y en ese caso, pedir consentimiento o anonimizarlos antes).
- Si hay transferencias internacionales de datos (OpenAI está en EE.UU.; el RGPD exige garantías adicionales).
Obligación 4: Sistemas de alto riesgo — documentación, evaluación, supervisión humana
Si tu IA interviene en decisiones que afectan a personas —selección de personal, scoring crediticio, acceso a servicios, diagnóstico médico—, las obligaciones se multiplican. En estos casos necesitas:
- Documentación técnica del sistema.
- Sistema de gestión de riesgos.
- Evaluación de impacto en derechos fundamentales.
- Supervisión humana obligatoria (la IA decide, pero un humano revisa).
- Registro de actividad (logging) con retención mínima de 6 meses.
Esto afecta especialmente a pymes de sectores como RRHH, fintech, salud y seguros. Si es tu caso, agosto no es una fecha: es una emergencia.
Sanciones: hasta 35 millones de euros (o el 7% de tu facturación)
El régimen sancionador tiene tres tramos:
| Tipo de infracción | Multa máxima |
|---|---|
| Prácticas prohibidas (biometría en espacios públicos, manipulación subliminal...) | 35 millones € o 7% de facturación global |
| Incumplimiento de obligaciones de alto riesgo | 15 millones € o 3% de facturación global |
| Información incorrecta a la autoridad | 7,5 millones € o 1,5% de facturación global |
| Infracciones leves (falta de documentación, alfabetización no demostrada...) | Desde 6.000 € hasta 500.000 € |
¿Significa esto que una peluquería va a recibir una multa de 35 millones? No. La ley aplica un criterio de proporcionalidad por tamaño de empresa. Pero las infracciones leves empiezan en 6.000 €, que para un autónomo o una microempresa sí duele.
Y lo más importante: en una inspección, la falta de alfabetización documentada o de transparencia en un chatbot puede abrir la puerta a que revisen todo lo demás. Un incumplimiento menor agrava cualquier otro que encuentren.
Plan de acción: qué hacer en los próximos 60 días
No vamos a decirte que contrates un bufete de abogados por 15.000 €. La mayoría de pymes pueden cumplir lo básico con un enfoque ordenado. Aquí tienes un plan realista:
Semana 1-2: Haz inventario
Siéntate 30 minutos y escribe en una hoja todas las herramientas de IA que usas. Piensa en:
- Chatbots (WhatsApp, web, redes sociales).
- Asistentes de escritura (ChatGPT, Claude, Copilot, Gemini...).
- Software de gestión con IA (CRM, RRHH, facturación, contabilidad).
- Herramientas de análisis o toma de decisiones automatizadas.
Para cada una, anota: qué hace, qué datos le metes, quién la provee, y dónde están sus servidores.
Semana 2-3: Revisa la transparencia
Si tienes chatbots o asistentes virtuales, verifica que el cliente sabe que habla con IA. Cambia el nombre del avatar si es necesario, añade un mensaje de aviso, y asegúrate de que el canal de escalada a un humano es claro y accesible.
Revisa también las políticas de uso de datos de cada herramienta. ChatGPT Plus, por ejemplo, te permite desactivar el uso de tus datos para entrenamiento (en Configuración > Controles de datos). Hazlo si no lo tienes hecho ya.
Semana 3-4: Documenta la alfabetización
No necesitas un máster en IA. Basta con que documentes que tu equipo (o tú, si eres autónomo) ha recibido formación básica sobre:
- Qué es la IA que usan y cómo funciona a grandes rasgos.
- Qué datos no deben introducir (datos personales, confidenciales).
- Qué hacer cuando la IA se equivoca (siempre verificar antes de enviar a un cliente).
- Cuándo escalar a un humano en lugar de dejar que la IA decida sola.
Un email interno con estas directrices, una charla de 30 minutos documentada con fecha y asistentes, o un curso online guardado como PDF sirve. No busques perfección; busca demostrar que actuaste.
Semana 4-6: Protocoliza
Crea un documento interno —aunque sea de dos páginas— con:
Tu política de uso de IA: qué herramientas están aprobadas, qué datos se pueden y no se pueden meter, quién es responsable de cada herramienta, y qué hacer si algo falla.
Tu política de transparencia: cómo identificas a la IA ante clientes, cuándo escalas a un humano, y cómo informas al usuario.
Guarda las facturas de todas tus herramientas de IA. Las necesitarás si te piden justificar el uso profesional.
Semana 6-8: Revisa y ajusta
Dale una última vuelta. ¿Tienes sistemas de alto riesgo (CV automático, scoring, decisiones sobre personas)? Si es así, necesitas documentación técnica más robusta y evaluación de impacto. Aquí sí puede merecer la pena consultar con un especialista.
¿Solo usas IA para productividad y atención básica? Con el plan anterior ya estás en un nivel razonable de cumplimiento.
Herramientas que ayudan
Algunas específicas para cumplir con la normativa sin volverte loco:
- Políticas de privacidad de tus herramientas: revisa las de OpenAI, Anthropic, Google, Microsoft. Todas tienen secciones sobre cumplimiento del RGPD y almacenamiento de datos en la UE.
- Plataformas de automatización con servidores en la UE: n8n en self-hosted te da control total sobre dónde están tus datos. Si usas Make o Zapier, revisa sus políticas de localización.
- Monitorización de LLMs: herramientas como Langfuse o Helicone permiten monitorizar qué se envía a los modelos y detectar inyecciones de datos sensibles antes de que salgan de tu empresa.
- AESIA: la propia Agencia de Supervisión tiene guías y recursos en aesia.gob.es. No todas están actualizadas a la ley de mayo 2026, pero dan contexto.
Preguntas frecuentes
¿Si solo uso ChatGPT gratis para redactar emails, tengo que hacer todo esto?
Para el uso básico de productividad (redacción, investigación, resumen), tus obligaciones son principalmente tres: no meter datos sensibles de clientes, asegurarte de que el contenido que generas es revisado antes de enviarlo, y que tu equipo sabe estos dos puntos. La alfabetización aplica sea gratis o de pago.
¿Mi chatbot de WhatsApp (Tidio, ManyChat...) entra en la ley?
Sí. Cualquier sistema que interactúe con clientes usando IA y que pueda tomar decisiones automatizadas (rutear consultas, dar respuestas, recoger datos) está dentro del ámbito. Asegúrate de que tu proveedor del chatbot también cumpla: si usas un intermediario como Tidio o ManyChat, revisa su documentación de compliance.
¿Hay alguna exención para microempresas o autónomos?
No hay exención total. La ley aplica a todos. Pero el régimen sancionador tiene en cuenta el tamaño de la empresa, la gravedad y la intencionalidad. Las sanciones serán proporcionales. Que no te sirva de excusa para no hacer nada.
¿Puedo usar la AI Act o la ley española para cubrirme de responsabilidades si la IA me da información errónea a un cliente?
La ley refuerza tu responsabilidad como empresa. Si un chatbot da información incorrecta a un cliente basándose en datos que tú le proporcionaste, eres tú quien responde. Por eso la supervisión humana y la verificación son obligatorias, no opcionales.
¿El Kit Digital cubre la adaptación a la Ley de IA?
El Kit Digital 2026 incluye una nueva categoría de «IA aplicada al puesto de trabajo» con ayudas de hasta 2.000-3.000 € para autónomos y microempresas. Esto puede financiar parte de la implementación de herramientas que te ayuden a cumplir con la normativa. Consulta en acelerapyme.gob.es.
Pide un diagnóstico gratis
Si quieres implementar esto en tu negocio, pide un diagnóstico gratuito de 30 minutos. Contacta aquí o escríbenos por WhatsApp desde la web.
