Seis pasos urgentes para que las pymes españolas cumplan la Ley IA

La inteligencia artificial se ha integrado de forma acelerada en la operativa de las pymes españolas. Según el INE, el 21,1% de las empresas de más de 10 empleados utilizó IA en el primer trimestre de 2025. Sin embargo, muy pocas conocen o aplican las obligaciones que impone el Reglamento UE 2024/1689 y su desarrollo nacional a través de la Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial, supervisada por la AESIA.

Con agosto de 2026 como fecha límite para la aplicación total del régimen sancionador, las organizaciones afrontan un año decisivo para pasar de la experimentación a la plena adecuación legal. Para facilitar este proceso, la tecnológica Cosmomedia ha identificado seis pautas esenciales para que las pymes cumplan con la Ley IA y eviten riesgos regulatorios.

1.     Inventario obligatorio de herramientas de IA

La primera medida es registrar todas las aplicaciones de IA utilizadas en la empresa, desde asistentes de redacción hasta sistemas de análisis de datos. Este inventario debe detallar la finalidad de cada herramienta y su nivel de riesgo.

La transparencia es un pilar central del reglamento, y este registro será la base para cualquier auditoría o revisión futura.

2.     Exigir documentación técnica a los proveedores

La mayoría de las pymes no desarrolla su propia IA, sino que utiliza soluciones de terceros. La normativa obliga a que estos proveedores aporten documentación técnica, instrucciones de uso y garantías de cumplimiento.

Cosmomedia recuerda que la empresa usuaria también es responsable de verificar que la herramienta cumple con los requisitos legales.

3.     Formación obligatoria para toda la plantilla

La Ley IA introduce el concepto de “alfabetización en IA”: no basta con instalar un software, sino que los empleados deben comprender su funcionamiento, sus limitaciones y los posibles sesgos.

La formación debe incluir instrucciones claras para un uso seguro y responsable, especialmente en áreas sensibles.

4.     Supervisión humana en usos de alto riesgo

El reglamento clasifica ciertos usos como de “alto riesgo”, prohibiendo su automatización total. En estos casos, la intervención humana es obligatoria.

Entre los ámbitos afectados destacan selección de personal y cribado de CV, evaluación de rendimiento laboral, calificación crediticia y análisis de solvencia, puntuación educativa y sistemas vinculados a infraestructuras críticas (agua, gas, electricidad). La supervisión humana debe ser real, documentada y efectiva.

5.     Prohibición absoluta de la IA de riesgo inaceptable

La normativa veta por completo prácticas como categorización biométrica basada en creencias, sistemas de puntuación social, reconocimiento facial masivo (salvo excepciones muy concretas) y técnicas de manipulación cognitiva

Las pymes que mantengan estos usos se exponen a las sanciones más severas del reglamento, al tratarse de actividades que vulneran derechos fundamentales.

6.     Régimen sancionador proporcional para pymes y startups

Las multas generales oscilan entre 7,5 y 35 millones de euros, o hasta el 7% de la facturación global. No obstante, la Ley IA contempla un régimen sancionador proporcional para pymes y startups, aplicando siempre la cuantía menor para no comprometer la viabilidad del negocio. Aun así, las sanciones pueden ser significativas si no se demuestra diligencia.