Sus empleados utilizan ChatGPT para redactar correos electrónicos, Copilot para escribir código y herramientas de análisis basadas en IA para prever la demanda. Estas herramientas ya están integradas en las operaciones diarias — a menudo adoptadas de abajo hacia arriba, sin aprobación formal ni documentación. La Ley de IA (Reglamento 2024/1689) entró en vigor el 1 de agosto de 2024, y sus obligaciones se están implementando por fases. Introduce normas no solo para los desarrolladores de IA, sino para toda organización que utilice sistemas de IA. El reglamento denomina a estas organizaciones "implementadores" (deployers).
La mayoría de las pequeñas y medianas empresas son implementadores. Usted no desarrolló ChatGPT ni su herramienta de preselección de RRHH basada en IA — pero eligió utilizarlas, y eso le hace responsable de su impacto en las personas. Las obligaciones son manejables, pero requieren documentación que la mayoría de las pymes aún no tienen. Esta guía explica lo que necesita hacer: inventariar sus sistemas de IA, clasificar el riesgo, documentar la supervisión humana e integrar todo con su cartografía existente de datos del RGPD.
La cronología de la Ley de IA — ¿qué se aplica y cuándo?
La Ley de IA no entra en vigor de una sola vez. Fue publicada en el Diario Oficial el 12 de julio de 2024, entró en vigor el 1 de agosto de 2024, y sus disposiciones se aplican según un calendario escalonado:
- 2 de febrero de 2025 — Las prácticas de IA prohibidas (Art. 5) y los requisitos de alfabetización en IA (Art. 4) ya se aplican. Si su personal utiliza sistemas de IA, ya debe contar con formación suficiente.
- 2 de agosto de 2025 — Entran en vigor las normas para modelos de IA de propósito general (como los modelos fundacionales detrás de ChatGPT y Gemini).
- 2 de agosto de 2026 — Se aplica la mayor parte del reglamento: las obligaciones de los implementadores (Art. 26), los requisitos para sistemas de IA de alto riesgo, las obligaciones de transparencia (Art. 50) y el marco completo de cumplimiento. Este es el plazo para el que la mayoría de las pymes necesitan prepararse.
- 2 de agosto de 2027 — Obligaciones para sistemas de IA de alto riesgo que son componentes de seguridad de productos ya regulados por la legislación europea de productos (por ejemplo, dispositivos médicos, maquinaria).
¿Dónde estamos ahora? A la fecha de publicación de este artículo (abril de 2026), las prácticas prohibidas y los requisitos de alfabetización en IA ya están en vigor. Tiene aproximadamente cuatro meses hasta que las obligaciones de los implementadores y los requisitos de alto riesgo entren en vigor el 2 de agosto de 2026.
La clasificación de riesgos de la Ley de IA
La Ley de IA clasifica cada sistema de IA en uno de cuatro niveles de riesgo. Sus obligaciones dependen completamente del nivel aplicable.
Riesgo inaceptable (prohibido). Estos sistemas están terminantemente prohibidos. La puntuación social por parte de los gobiernos, las técnicas de manipulación subliminal que causan daño y la identificación biométrica en tiempo real en espacios públicos con fines de aplicación de la ley (con excepciones estrictas). Como pyme, es poco probable que se encuentre con estos — pero verifique que ninguna herramienta de sus proveedores cruce ese límite.
Riesgo alto. Aquí es donde las obligaciones se vuelven sustanciales. Los sistemas de IA utilizados para decisiones de contratación, evaluación de solvencia crediticia, acceso a servicios esenciales públicos y privados e identificación biométrica entran en esta categoría. Los sistemas de alto riesgo requieren una evaluación de conformidad, una evaluación de impacto relativa a la protección de datos (EIPD), supervisión humana documentada y registros de auditoría conservados durante al menos seis meses. Si su empresa utiliza IA para preseleccionar currículos, evaluar solicitudes de préstamo o determinar la elegibilidad de clientes para servicios — está operando un sistema de IA de alto riesgo.
Riesgo limitado. En virtud del Artículo 50 (obligaciones de transparencia), los chatbots y la IA conversacional deben informar a los usuarios de que están interactuando con una IA. El contenido generado por IA (deepfakes, medios sintéticos) debe estar claramente etiquetado. Esto se aplica a los chatbots orientados al cliente, los asistentes de IA en su sitio web y cualquier material de marketing generado por IA.
Riesgo mínimo. Sin requisitos específicos. Los filtros de spam, los motores de búsqueda impulsados por IA, los sistemas de recomendación de contenido y los correctores gramaticales se incluyen aquí. La mayoría de las herramientas de IA cotidianas se encuentran en esta categoría.
La pregunta clave para cada pyme: ¿alguna de sus herramientas de IA toma o apoya directamente decisiones sobre personas? Si es así, puede estar en territorio de alto riesgo independientemente de lo simple que parezca la herramienta.
Lo que los implementadores deben documentar (Art. 26)
El artículo 26 de la Ley de IA define seis obligaciones fundamentales para los implementadores. Ninguna requiere que desarrolle experiencia en IA desde cero — pero todas requieren documentación.
1. Mantenga un inventario de IA. Enumere cada servicio en su organización que utiliza IA, qué hace y qué datos procesa. Esto no es opcional — es la base de todo lo demás. Si ya mantiene un registro de servicios de datos para el RGPD, amplíelo. Los servicios de IA pertenecen al mismo mapa de datos que su CRM, proveedor de correo electrónico y almacenamiento en la nube.
2. Clasifique cada sistema por nivel de riesgo. Para cada servicio de IA en su inventario, determine si cae bajo riesgo inaceptable, alto, limitado o mínimo. Documente su razonamiento. Un chatbot de atención al cliente es riesgo limitado. Una herramienta de IA que puntúa candidatos es riesgo alto.
3. Documente la supervisión humana para sistemas de alto riesgo. ¿Quién revisa la salida de la IA antes de que afecte a una persona? ¿Cuál es el proceso de escalamiento cuando la IA produce un resultado incorrecto o sesgado? Esto debe quedar por escrito, asignado a roles designados y realmente cumplirse.
4. Conserve registros de auditoría. Para sistemas de IA de alto riesgo, conserve los registros durante un mínimo de seis meses. Estos registros deben ser suficientes para reconstruir cómo el sistema llegó a una determinada salida. La mayoría de los proveedores de IA generan registros — su tarea es asegurar que se conserven y sean accesibles.
5. Notifique incidentes graves. Si un sistema de IA de alto riesgo causa o contribuye a un incidente grave (daño a la salud, la seguridad, los derechos fundamentales o la propiedad), debe notificarlo al proveedor de IA y, en algunos casos, a la autoridad nacional competente.
6. Garantice la alfabetización en IA (Art. 4). El personal que opera o supervisa sistemas de IA debe tener un conocimiento suficiente de cómo funcionan estos sistemas, sus limitaciones y los riesgos que presentan. Esto no significa que todos necesiten un título en aprendizaje automático — significa formación estructurada proporcionada al rol. Nota: a diferencia de las demás obligaciones anteriores, los requisitos de alfabetización en IA ya están en vigor desde el 2 de febrero de 2025 — no es un plazo futuro sino una obligación actual.
La conexión con el RGPD
La Ley de IA no reemplaza al RGPD — se superpone a él. Si su sistema de IA procesa datos personales (y casi todos lo hacen), el RGPD se aplica plenamente junto con la Ley de IA.
El artículo 22 del RGPD es particularmente relevante: ninguna persona será objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o efectos igualmente significativos. Si la IA toma o influye sustancialmente en decisiones sobre contratación, aprobación de préstamos, elegibilidad de seguros o acceso a servicios, necesita una base jurídica para ese tratamiento, un proceso documentado de revisión humana y el derecho de las personas a impugnar la decisión. El artículo 35 del RGPD exige además una Evaluación de Impacto relativa a la Protección de Datos cuando el tratamiento automatizado pueda generar un alto riesgo para las personas — lo que incluye la mayoría de las decisiones basadas en IA que afectan a individuos.
Estas no son obligaciones nuevas — el RGPD las exige desde 2018. Pero la Ley de IA eleva las exigencias y la especificidad de la documentación que esperan las autoridades de control. Su registro de actividades de tratamiento ya debería cubrir las actividades de tratamiento. La guía de la herramienta ROPA explica cómo estructurar ese registro. Su mapa de datos ya debería incluir los servicios. La guía de cartografía de datos del RGPD cubre la metodología.
Lo que cambia con la Ley de IA es que los campos específicos de IA — clasificación de riesgos, acuerdos de supervisión humana, formación en alfabetización en IA — ahora deben formar parte de esa documentación.
4 pasos hacia la gobernanza de IA para su organización
Paso 1: Inventariar servicios de IA
Comience identificando cada servicio impulsado por IA en su organización. Los obvios vienen primero: ChatGPT, Microsoft Copilot, Google Gemini. Luego profundice. ¿Su CRM utiliza IA para la puntuación de prospectos? ¿Su plataforma de RRHH utiliza IA para clasificar candidatos? ¿Su herramienta de análisis utiliza aprendizaje automático para predicciones?
Añada cada servicio de IA a su mapa de datos con su propósito, los datos que procesa y quién tiene acceso. Readmodel® incluye plantillas de servicios para ChatGPT, Claude, Gemini, Copilot, Mistral y Perplexity — preconfiguradas con los elementos de datos y clasificaciones correctos. Elija de la biblioteca y tendrá su inventario de IA iniciado en minutos.
Paso 2: Clasificar el riesgo
Para cada servicio de IA, asigne el nivel de riesgo de la Ley de IA: inaceptable, alto, limitado o mínimo. Sea honesto sobre cómo se utiliza realmente la herramienta, no solo sobre cómo la comercializa el proveedor. Un chatbot para preguntas frecuentes de clientes es riesgo limitado. El mismo chatbot utilizado para clasificar reclamaciones de seguros es potencialmente riesgo alto.
Documente su razonamiento de clasificación. Cuando un auditor pregunte por qué clasificó un sistema particular como riesgo mínimo, "porque parecía de bajo riesgo" no es una respuesta aceptable.
Paso 3: Documentar la supervisión humana
Para cada sistema de IA de alto y limitado riesgo, documente quién es responsable de revisar la salida de la IA. Sea específico: nombre el rol, describa el proceso de revisión y defina qué ocurre cuando la IA se equivoca. Para los sistemas de apoyo a la decisión (la IA recomienda, el humano decide), documente cómo el humano verifica la recomendación. Para los sistemas de decisión automatizada, documente el proceso de apelación y cómo las personas afectadas pueden solicitar una revisión humana.
Paso 4: Integrar con su registro de tratamientos
Las actividades de tratamiento con IA son actividades de tratamiento. Pertenecen a su registro del Artículo 30 junto con todo lo demás. Para cada servicio de IA, su registro debería incluir: las categorías de datos personales tratados, la base jurídica, el período de conservación, si los datos se transfieren fuera de la UE (la mayoría de los proveedores de IA procesan datos en EE. UU.) y los campos específicos de IA: clasificación de riesgos, supervisión humana y estado de alfabetización en IA.
Readmodel® genera exportaciones del registro de tratamientos que incluyen automáticamente los campos de gobernanza de IA. Si un servicio de IA está clasificado como alto riesgo pero no tiene una EIPD documentada, el registro de riesgos lo señala. Si un servicio no tiene supervisión humana documentada, aparece como punto de acción. Cree una cuenta gratuita y vea cómo sus servicios de IA se integran en el mismo flujo de cumplimiento que el resto de su mapa de datos.
Lo que ofrece Readmodel®
Readmodel® trata los servicios de IA como elementos de primera clase en su mapa de datos. La biblioteca de plantillas incluye plantillas de servicios de IA preconfiguradas con elementos de datos y clasificaciones precisos. El registro de riesgos señala automáticamente los servicios de IA que carecen de documentación de supervisión humana o que requieren una EIPD. La exportación del registro de tratamientos incluye columnas específicas de IA para que su registro del Artículo 30 refleje tanto el RGPD como la Ley de IA.
Todos los campos de gobernanza de IA están disponibles en cada plan, incluido el plan gratuito Explore. No necesita un presupuesto empresarial para documentar la gobernanza de IA — necesita una herramienta estructurada y treinta minutos.
Vea cómo Readmodel® se compara con otras herramientas de cumplimiento del RGPD, o cree su cuenta gratuita y comience a cartografiar sus servicios de IA hoy.
Comience ahora
El plazo de la Ley de IA es el 2 de agosto de 2026. Las autoridades de control esperarán documentación, no buenas intenciones. La buena noticia: si ya mantiene un mapa de datos del RGPD, está a medio camino. Añada sus servicios de IA, clasifique el riesgo, documente la supervisión humana e integre los resultados en su registro de tratamientos. Eso es gobernanza de IA para una pyme — práctica, proporcionada y construida sobre los cimientos de cumplimiento que ya tiene.