Inicio
Soluciones Cumplimiento IA Gestión Documental Automatización Diagnóstico Operativo
Especialización Gestorías y Asesorías
Insights Alianzas Solicitar diagnóstico
GOBERNANZA IA · AI ACT · PYMES

AI Act para PYMEs: qué debes hacer para adaptarte a la nueva normativa de IA

La Inteligencia Artificial ya forma parte de muchas empresas. El reto ya no es utilizar IA. El reto es hacerlo de forma segura, controlada y conforme a la normativa europea.

Hablar con un especialista
AI ActReglamento Europeo de IA
PYMEsGestorías, asesorías y servicios
90 díasPrimer plan de adaptación
Enfoque prácticoProcesos, personas y control

El AI Act para pymes exige identificar usos de IA, riesgos, responsables, evidencias y controles antes de incorporar automatizaciones o asistentes en procesos internos.

Patron detectado

La IA entra por herramientas concretas antes de existir inventario, criterio de uso o responsable operativo.

Error frecuente

Confundir cumplimiento con documentacion puntual y no con gobierno vivo de usos, datos y decisiones.

Checklist inicial

Inventariar usos, datos tratados, proveedores, impacto, supervisores, evidencias y medidas RGPD.

Checklist AI Act para pymes y empresas
01

Formación

¿Tu equipo sabe utilizar IA de forma segura y responsable?

02

Inventario

¿Sabes qué herramientas de IA se utilizan actualmente?

03

Supervisión

¿Existe revisión humana de los resultados?

04

Transparencia

¿Las personas saben cuándo interactúan con IA?

05

Procesos

¿Los procesos están documentados?

06

Gobernanza

¿Existe una persona responsable del uso de IA?

La mayoría de las empresas ya utilizan IA.

La diferencia está entre utilizarla con criterio o utilizarla sin control.

Autodiagnóstico en 2 minutos

¿Tu empresa está preparada para el AI Act?

Marca las medidas que ya existen de forma real y comprobable. El resultado es orientativo: ayuda a detectar si la IA se está usando con formación, inventario, supervisión, transparencia, procesos y gobernanza.

Cumplimiento AI Act
Gobernanza IA
Procesos
Adopción segura
En pocas palabras

Qué necesita saber una pyme sobre el AI Act.

El AI Act es el Reglamento Europeo de Inteligencia Artificial y establece requisitos proporcionales al riesgo y al papel que desempeña cada organización. No todas las pymes tienen las mismas obligaciones: dependen del rol de la empresa, el tipo de sistema, el nivel de riesgo, el uso concreto y el resto de normativa aplicable. Como punto de partida operativo, conviene identificar qué herramientas se usan, en qué procesos intervienen, qué datos se comparten, qué decisiones apoyan y quién supervisa sus resultados.

Qué es el AI Act

Un marco europeo para usar Inteligencia Artificial con control.

El AI Act es el Reglamento Europeo de Inteligencia Artificial. Su objetivo es ordenar cómo se diseñan, comercializan y utilizan los sistemas de IA dentro de la Unión Europea.

No trata todos los usos igual. Clasifica los sistemas según su riesgo y aplica obligaciones progresivas: desde usos prohibidos y sistemas de alto riesgo hasta requisitos de transparencia para determinados usos de IA generativa o chatbots.

Para una empresa, el impacto real aparece cuando la IA entra en procesos, datos, personas, proveedores y decisiones. Por eso la adaptación no es solo legal: también es operativa.

A qué empresas afecta

El impacto depende del uso de IA, no del tamaño de la empresa.

Una pyme puede asumir obligaciones diferentes como proveedora, responsable del despliegue, importadora o distribuidora. El impacto depende del sistema y del uso concreto, no solo del tamaño de la empresa.

Uso IA Impacto Lectura práctica
ChatGPT internoBajoRequiere política interna, formación y control de datos compartidos.
CopilotBajoDebe configurarse con permisos, criterios de uso y revisión humana.
Chatbot webTransparenciaEl usuario debe saber que interactúa con IA cuando corresponda.
Clasificación CVsAltoPuede afectar oportunidades laborales y exige controles reforzados.
Selección de candidatosAltoRequiere supervisión humana, trazabilidad y gestión de sesgos.
Scoring financieroAltoImpacta acceso a servicios o condiciones económicas.
SaludAltoNecesita controles específicos por impacto en personas.
Despachos profesionales

AI Act para gestorías y asesorías

El AI Act para gestorías y el AI Act para asesorías tienen una dimensión especialmente práctica: estos despachos manejan datos fiscales, laborales, contables y personales, y suelen incorporar ChatGPT u otras herramientas antes de disponer de una política de uso de IA.

Gestoría revisando documentación y procesos relacionados con IA

La adopción de IA en gestorías y asesorías exige combinar eficiencia, confidencialidad y supervisión profesional.

Riesgos habituales

El riesgo aparece cuando una herramienta externa entra en un proceso profesional sin que nadie haya definido sus límites.

  • Copiar documentación de clientes en prompts.
  • Confiar en respuestas sin contrastarlas.
  • Usar cuentas personales sin control.
  • No registrar proveedores ni finalidades.

Uso de ChatGPT en gestorías

Puede servir para borradores, resúmenes o apoyo interno, pero no debe sustituir el criterio profesional ni recibir datos personales o confidenciales sin garantías adecuadas.

  • Anonimizar la información.
  • Limitar los datos compartidos.
  • Validar siempre el resultado.
  • Definir herramientas autorizadas.

AI Act y RGPD

El cumplimiento AI Act en despachos profesionales no reemplaza al RGPD. Ambos marcos se cruzan cuando la IA trata datos personales, perfila personas o interviene en decisiones.

  • Base y finalidad del tratamiento.
  • Revisión de contratos y proveedores.
  • Supervisión humana efectiva.
  • Trazabilidad de usos sensibles.

¿Qué debe hacer una gestoría o asesoría para empezar?

Debe localizar todas las herramientas de IA, identificar qué documentación de clientes puede alcanzar cada una, prohibir usos inseguros, formar al equipo y asignar una persona responsable. Después conviene documentar una política de uso de IA, revisar proveedores y establecer supervisión humana para cualquier respuesta, informe o decisión que llegue al cliente.

Qué debe hacer una pyme en los próximos 90 días

El primer paso es convertir la IA invisible en IA gobernada.

Inventario de herramientas IA

Identificar qué herramientas se usan, quién las usa, para qué procesos y con qué datos.

Formación básica

Asegurar alfabetización IA: límites, privacidad, validación humana, sesgos y usos permitidos.

Clasificación de riesgos

Distinguir usos de bajo impacto, transparencia y alto riesgo para priorizar controles.

Transparencia

Definir cuándo debe informarse al cliente, usuario o empleado de que interviene IA.

Gobernanza

Asignar responsables, documentar políticas, revisar proveedores y establecer supervisión.

Cinco áreas de control

Prepararse para el AI Act exige distinguir obligaciones y buenas prácticas.

Las medidas aplicables deben determinarse caso por caso. Esta lista combina posibles obligaciones legales, recomendaciones de gobernanza y buenas prácticas DUCVIAM para ordenar el uso de IA.

01

Alfabetización IA

Obligación legal condicionada. El nivel adecuado depende del contexto, conocimientos y uso de los sistemas.

02

Transparencia

Obligación según el uso. Resulta aplicable a determinados sistemas, interacciones y contenidos.

03

Supervisión humana

Requisito dependiente del riesgo. Es especialmente relevante cuando la IA interviene en decisiones sensibles.

04

Gestión de proveedores

Recomendación de gobernanza. Ayuda a conocer contratos, datos tratados, configuraciones y garantías disponibles.

05

Gobernanza

Buena práctica DUCVIAM. Definir responsables, criterios y registros permite mantener el control operativo.

Caso práctico

Ejemplo ilustrativo de adaptación al AI Act

Este ejemplo ilustrativo reproduce una situación frecuente en pequeños despachos. No corresponde a un cliente concreto.

Gestoría de 10 empleados

Ejemplo ilustrativo

Antes

  • ChatGPT sin política
  • Sin inventario
  • Sin formación
  • Sin responsables

Después

  • Política interna
  • Inventario
  • Formación
  • Gobernanza
  • Supervisión

Situación inicial

  • Uso informal de ChatGPT.
  • Sin política interna.
  • Sin inventario de herramientas.
  • Sin formación común.

Acciones aplicadas

  • Inventario de herramientas y usos.
  • Formación por situaciones de trabajo.
  • Política de uso y datos prohibidos.
  • Responsables de validación y control.

Resultado esperado

  • Reducción del riesgo operativo.
  • Mayor trazabilidad.
  • Cumplimiento básico organizado.
  • Criterios compartidos por el equipo.
Errores más frecuentes

La exposición suele aparecer antes que la conciencia del riesgo.

Usar ChatGPT sin política interna.

La herramienta se adopta por iniciativa individual y cada persona decide sus propios límites.

Compartir información sensible.

Datos de clientes, empleados o negocio entran en sistemas sin control ni criterio común.

IA sin procesos definidos.

La automatización acelera tareas, pero también errores si el proceso no está ordenado.

RRHH sin supervisión humana.

La IA se utiliza para filtrar o valorar candidatos sin criterios transparentes ni revisión.

Pensar que el AI Act no afecta a la pyme.

El reglamento no mira solo el tamaño: mira el uso, el riesgo y el impacto.

Del uso informal de IA a una adopción responsable mediante formación, inventario, supervisión, transparencia, procesos y gobernanza
Evaluación interactiva

Diagnóstico AI Act en 3 minutos

Responde unas preguntas rápidas y descubre el nivel de preparación de tu empresa frente al AI Act.

Progreso 0 de 12 respondidas
01 Formación IA

¿El equipo ha recibido formación básica sobre IA?

¿Existen criterios claros sobre qué herramientas de IA pueden utilizarse?

02 Inventario IA

¿Existe un inventario de herramientas IA utilizadas en la empresa?

¿Está documentado quién utiliza cada herramienta y para qué proceso?

03 Supervisión humana

¿Los resultados generados por IA se revisan antes de utilizarse?

¿La IA está excluida de decisiones críticas sin validación humana?

04 Transparencia

¿Se informa cuando una persona interactúa con IA?

¿Se identifican contenidos generados por IA cuando corresponde?

05 Procesos

¿Existen procesos documentados relacionados con el uso de IA?

¿Hay protocolos ante errores o incidencias derivadas de IA?

06 Gobernanza IA

¿Existe una política interna de uso de IA?

¿Existe una persona responsable de supervisar el uso de IA?

0/12

Riesgo Alto

Tu organización necesita establecer controles básicos antes de ampliar el uso de IA.

Checklist AI Act para empresas

Seis preguntas para medir tu punto de partida.

Inventario IA

¿Sabes qué herramientas IA se utilizan en la organización?

Política interna

¿Existe una norma clara sobre usos permitidos y datos prohibidos?

Formación

¿El equipo conoce riesgos, límites y buenas prácticas de IA?

Supervisión

¿Hay revisión humana en procesos sensibles o entregables relevantes?

Clasificación riesgos

¿Diferencias usos de bajo impacto, transparencia y alto riesgo?

Responsables definidos

¿Alguien responde por proveedores, permisos, controles y trazabilidad?

Si has respondido NO a varias preguntas, existe margen de mejora.
La IA no es el problema. La falta de control sí.

La regulación simplemente hace visible una realidad que ya existía: procesos no documentados, información dispersa, dependencia de personas y falta de trazabilidad.

  • Procesos no documentados.
  • Información dispersa.
  • Dependencia de personas.
  • Falta de trazabilidad.
Transformación operativa del caos a la claridad
Del caos operativo a la claridad organizativa.

La IA no sustituye los procesos.
Los hace visibles.

Apoyo para la adaptación

Orden, procesos y adopción práctica para convertir cumplimiento en capacidad.

01

Diagnóstico AI Act

Mapa inicial de usos, riesgos y brechas de gobernanza IA.

02

Gobernanza IA

Políticas, responsables, controles y criterios aplicables al día a día.

03

Formación

Alfabetización IA orientada a perfiles, procesos y riesgos reales.

04

Roadmap

Priorización de acciones para avanzar sin bloquear la operación.

05

Automatización

Implantación práctica de IA dentro de procesos trazables.

06

Seguimiento

Acompañamiento para mantener control, adopción y mejora continua.

Preguntas frecuentes

Preguntas específicas sobre AI Act, pymes, gestorías y asesorías.

¿Cómo afecta el AI Act a las pymes españolas?

El AI Act afecta a las pymes que usan, integran o contratan sistemas de Inteligencia Artificial. La obligación depende del uso: no es lo mismo usar ChatGPT para redactar borradores que emplear IA para seleccionar candidatos, evaluar solvencia o tomar decisiones con impacto relevante. La pyme debe identificar sus herramientas, clasificar riesgos, formar a los equipos, documentar criterios de uso y asegurar supervisión humana cuando proceda.

¿Qué debe hacer una empresa para cumplir el AI Act?

Primero debe determinar su rol, los sistemas que utiliza, su clasificación de riesgo y las obligaciones concretas aplicables. Inventariar usos, revisar proveedores, formar a los equipos y documentar controles son medidas prudentes de preparación, pero su alcance debe adaptarse al caso y validarse jurídicamente.

¿Es obligatorio formar a los empleados en Inteligencia Artificial?

Si una empresa utiliza sistemas de IA, debe asegurar un nivel adecuado de alfabetización en IA para las personas que los usan o supervisan. En la práctica, esto implica formación básica sobre límites, riesgos, privacidad, sesgos, validación humana y usos permitidos. La formación no tiene que ser teórica ni compleja: debe estar conectada con los procesos reales de la organización.

¿Puede una empresa utilizar ChatGPT de forma legal?

Sí, una empresa puede utilizar ChatGPT de forma legal si establece criterios claros de uso. Debe evitar introducir información confidencial o datos personales sin base adecuada, definir qué tareas se permiten, exigir revisión humana de resultados y formar a los usuarios. El riesgo no está en usar IA generativa, sino en usarla sin política interna, sin trazabilidad y sin control sobre la información compartida.

¿Qué documentación necesita una pyme para cumplir el AI Act?

No existe un paquete documental universal para todas las pymes. La documentación depende del rol, sistema, riesgo y uso. Como buena base de gobernanza suelen resultar útiles el inventario de herramientas, criterios internos, evidencia de formación, revisión de proveedores y registros de supervisión cuando procedan.

¿Cuándo entra en vigor el AI Act para las empresas?

El AI Act se aplica de forma progresiva desde su entrada en vigor en la Unión Europea. Algunas obligaciones comienzan antes que otras, especialmente las relacionadas con prácticas prohibidas y alfabetización en IA. Las empresas no deberían esperar al último plazo: necesitan tiempo para inventariar usos, formar equipos, revisar proveedores y crear gobernanza interna.

¿Cómo afecta el AI Act a gestorías y asesorías?

Gestorías y asesorías manejan documentación, datos de clientes y procesos administrativos con alto nivel de confianza. Si usan IA para redactar, clasificar, resumir, responder consultas o automatizar tareas, deben controlar qué información se comparte, quién valida los resultados y qué proveedores intervienen. El AI Act refuerza la necesidad de procesos documentados, supervisión humana y política interna de IA.

¿Puede una gestoría utilizar ChatGPT con datos de clientes?

Debe hacerlo con mucha prudencia. Una gestoría no debería introducir datos personales, fiscales, laborales o información confidencial de clientes en herramientas de IA sin una base jurídica, configuración adecuada, contrato o garantías suficientes. La alternativa responsable es anonimizar, limitar datos, usar entornos empresariales adecuados y definir una política clara de uso y supervisión.

¿Qué obligaciones tienen los despachos profesionales respecto a la IA?

Los despachos profesionales deben identificar dónde usan IA, proteger información confidencial, formar al equipo, revisar proveedores, supervisar resultados y documentar criterios cuando la IA influye en decisiones o entregables. También deben evitar que la IA sustituya controles profesionales esenciales. La responsabilidad final no desaparece porque una respuesta haya sido generada por una herramienta.

¿Necesita una asesoría una política interna de uso de IA?

Una política interna no es una obligación universal por el mero uso de cualquier herramienta, pero es una buena práctica de gobernanza cuando intervienen datos de clientes, procesos profesionales o varios usuarios. Debe ajustarse a los riesgos y a la normativa aplicable.

¿Qué es una auditoría de cumplimiento AI Act?

Una auditoría de cumplimiento AI Act revisa los usos reales de IA en la organización, su nivel de riesgo, documentación, controles, formación, proveedores y supervisión humana. En pymes, el enfoque debe ser práctico: detectar brechas, priorizar riesgos y convertir obligaciones en acciones operativas que puedan mantenerse en el tiempo.

¿Cómo preparar una empresa para el AI Act?

Para preparar una empresa conviene empezar por un diagnóstico: qué IA se usa, en qué procesos, con qué datos, por qué perfiles y con qué controles. Después se deben ordenar responsabilidades, formar a los equipos, documentar una política interna, revisar proveedores y crear un roadmap de adaptación. El objetivo es construir control, no bloquear la innovación.

¿Qué incluye un diagnóstico de gobernanza IA?

Un diagnóstico de gobernanza IA incluye inventario de herramientas, mapa de procesos afectados, identificación de riesgos, revisión de datos compartidos, análisis de proveedores, nivel de alfabetización IA, controles existentes y recomendaciones prioritarias. También define quick wins y un roadmap para avanzar hacia un uso seguro, trazable y escalable de la IA.

¿Cuánto cuesta adaptarse al AI Act?

El coste depende del tamaño de la empresa, número de herramientas, sensibilidad de los datos y nivel de riesgo de los usos de IA. Para muchas pymes, la primera inversión no es tecnológica: es ordenar procesos, formar equipos, crear política interna y revisar proveedores. Un diagnóstico inicial permite estimar prioridades antes de asumir costes mayores.

Sobre DUCVIAM

Capacidad operativa para adoptar IA con control.

DUCVIAM es una firma especializada en capacidad operativa empresarial. Ayudamos a ordenar procesos, responsabilidades y gobernanza para que las organizaciones puedan adoptar Inteligencia Artificial sin aumentar su complejidad ni su riesgo.

Trabajamos desde Barcelona con pymes, gestorías, asesorías, despachos profesionales y empresas de servicios que necesitan menos dependencia de personas clave, más trazabilidad y adopción práctica de IA.

Barcelona PYMEs Gestorías Asesorías Empresas de servicios
Rigor y alcance

Fuentes oficiales y nota de alcance

Esta guía ofrece una lectura operativa general. No constituye asesoramiento jurídico ni determina por sí sola las obligaciones de una organización. La evaluación debe considerar el rol de la empresa, el sistema de IA, su nivel de riesgo, el uso concreto y la normativa sectorial y de protección de datos aplicable.

Fuentes oficiales consultadas:

Siguiente paso

Diagnóstico de preparación para el AI Act

Descubre en qué situación se encuentra tu organización y qué acciones deberías priorizar durante los próximos meses.

  • Evaluación inicial
  • Identificación de riesgos
  • Quick Wins
  • Roadmap de adaptación
  • Recomendaciones prioritarias
Solicitar Diagnóstico