AI Act europeo explicado para autónomos y pymes (2026)

Aviso: contenido divulgativo. No es asesoramiento jurídico personalizado. Para casos concretos, consulta a un abogado especializado en derecho digital o protección de datos.

Índice Qué es el AI Act en una frase Calendario: qué entra y cuándo Las 4 categorías de riesgo Si soy autónomo o pyme, ¿qué me afecta? Deberes prácticos que sí debes cumplir Contenido generado por IA: el etiquetado Derechos de autor y entrenamiento Sanciones reales Mitos y errores frecuentes FAQ

Qué es el AI Act en una frase

El AI Act (Reglamento UE 2024/1689) es la primera normativa horizontal del mundo que regula sistemas de inteligencia artificial. Clasifica los sistemas por nivel de riesgo y exige obligaciones proporcionales a ese riesgo: nada para riesgo mínimo, transparencia para riesgo limitado, fuertes controles para alto riesgo, y prohibición total para riesgo inaceptable.

Calendario: qué entra y cuándo

Fecha	Qué entra en vigor
1 ago 2024	El Reglamento entra en vigor (publicado en el DOUE).
2 feb 2025	Prohibiciones de prácticas de riesgo inaceptable + obligaciones de alfabetización en IA.
2 ago 2025	Reglas para modelos de uso general (GPAI). Designación de autoridades nacionales.
2 ago 2026	El grueso del Reglamento, incluidas obligaciones para sistemas de alto riesgo (con excepciones).
2 ago 2027	Obligaciones para sistemas de alto riesgo integrados como componentes de productos.

En España, la AESIA (Agencia Española de Supervisión de la IA, con sede en A Coruña) es la autoridad nacional de referencia.

Las 4 categorías de riesgo

Riesgo inaceptable (prohibido): sistemas de social scoring tipo China, manipulación subliminal, identificación biométrica masiva en espacios públicos (con excepciones), reconocimiento de emociones en el trabajo o la educación.
Riesgo alto: IA en RRHH (selección de personal), scoring crediticio, educación con efectos en acceso/notas, sanidad, infraestructuras críticas, justicia, seguros y servicios públicos esenciales.
Riesgo limitado: chatbots, sistemas que generan contenido (texto, imagen, audio, vídeo) que puede confundirse con humano/real. Aquí entran la mayoría de herramientas que usamos.
Riesgo mínimo: filtros de spam, recomendadores de e-commerce, IA en videojuegos. Sin obligaciones específicas.

Si soy autónomo o pyme, ¿qué me afecta?

La buena noticia: si usas ChatGPT, Claude, Gemini, Canva, Notion AI, Make o cualquier herramienta común para crear contenido, automatizaciones o atención al cliente, estás en el rango de riesgo limitado o mínimo. Tus obligaciones son ligeras.

La mala noticia: si tu actividad incluye seleccionar candidatos, evaluar a personas, dar diagnósticos, conceder créditos o tomar decisiones que afectan a derechos de un humano, te toca cumplir obligaciones de alto riesgo, aunque seas autónomo.

Deberes prácticos que sí debes cumplir

Transparencia con tus clientes: si interactúan con un chatbot o IA, deben saberlo. Una frase tipo "Estás chateando con un asistente automatizado" basta.
Etiquetado de contenido sintético: imágenes, vídeos o audios que parezcan reales y estén generados por IA deben etiquetarse como tales.
Alfabetización en IA: tú (y, si tienes equipo, ellos) debéis tener un nivel mínimo de comprensión sobre las herramientas que usáis y sus riesgos.
Protección de datos: el AI Act NO sustituye al RGPD. Sigue cumpliendo: base legal, política de privacidad actualizada, no uses datos personales en cuentas gratuitas que entrenen modelos.
Documentación interna: mantén una lista de las herramientas IA que usas, para qué, con qué datos. Si te inspeccionan, te lo agradecerás.

Contenido generado por IA: el etiquetado

Este es el punto que más confunde. Reglas prácticas:

Texto generado por IA: no exige etiquetado obligatorio para autónomos comunes. La buena práctica editorial sí lo recomienda (lo hacemos en este blog).
Imágenes hiperrealistas o "deepfake-like": sí deben llevar marca o aviso visible/legible si pueden confundirse con reales.
Audio o vídeo de personas (voces clonadas, avatares): debe quedar claro que es sintético, salvo casos artísticos manifiestos.
Marcas técnicas (C2PA, SynthID): herramientas como Adobe Firefly y Google Imagen las incluyen automáticamente. No las quites.

Derechos de autor y entrenamiento

El AI Act exige a los proveedores de modelos (OpenAI, Anthropic, Google, Mistral…) publicar un resumen del contenido usado para entrenamiento y respetar el opt-out de los titulares de derechos. Para ti como usuario, esto significa:

Puedes seguir usando las herramientas con normalidad: la obligación recae en el proveedor.
Si publicas contenido tuyo (web, libros, fotos) y NO quieres que se use para entrenar IA, declara el opt-out (por ejemplo con robots.txt bloqueando bots de entrenamiento conocidos: GPTBot, Google-Extended, ClaudeBot…).
Para imágenes: añade metadatos tdm-reservation o marcadores C2PA.

Sanciones reales

Infracción	Sanción máxima
Prácticas prohibidas (art. 5)	Hasta 35 M€ o 7% facturación global
Incumplimiento de obligaciones de alto riesgo	Hasta 15 M€ o 3% facturación global
Información falsa a autoridades	Hasta 7,5 M€ o 1,5% facturación global
Pymes y startups	Régimen proporcional: se aplica el porcentaje menor de los dos

En la práctica, las primeras sanciones van a ir contra grandes plataformas y proveedores. Un autónomo cumpliendo razonablemente con transparencia y RGPD no es el objetivo de las autoridades.

Mitos y errores frecuentes

"Tengo que registrar mi negocio en un registro nacional de IA." No, salvo que tengas un sistema de alto riesgo registrable según el reglamento.
"Tengo que avisar en cada email enviado que uso IA." No. Solo cuando un cliente interactúa directamente con un sistema automatizado (chatbot, asistente).
"Si uso ChatGPT pago, ya cumplo." Cumple OpenAI con sus obligaciones de proveedor; tú sigues siendo responsable de cómo lo usas con datos personales.
"Las imágenes generadas por IA están prohibidas." No. Están permitidas con la transparencia razonable que indicamos.
"El AI Act sustituye al RGPD." No. Conviven y se aplican simultáneamente.

Preguntas frecuentes

¿Puedo seguir usando avatares con voz clonada para mis vídeos?

Sí, si declaras claramente que es un avatar/voz sintética. Algunas plataformas (Meta, TikTok) ya exigen etiqueta propia. Cumplir esa etiqueta cumple también el espíritu del AI Act.

Si mi web usa un chatbot, ¿qué debo poner?

Un aviso visible al iniciar la conversación: "Estás hablando con un asistente automatizado. Puede haber errores. Para hablar con un humano, escribe a [email]".

¿Necesito un DPO (Delegado de Protección de Datos)?

Solo si lo exige el RGPD (volumen de datos, sector). El AI Act no introduce esa figura para autónomos comunes.

¿Y si vendo a clientes fuera de la UE?

El AI Act se aplica cuando el resultado del sistema se usa en la UE. Si todos tus clientes están fuera (por ejemplo en LatAm), el reglamento europeo no aplica, pero RGPD sí si tratas datos de personas en la UE.

¿Dónde consulto la información oficial?

En España: aesia.gob.es. A nivel europeo: digital-strategy.ec.europa.eu/es/policies/regulatory-framework-ai. El texto completo del Reglamento: EUR-Lex 32024R1689.

Conclusión

Para un autónomo o pyme que usa IA generativa común, el AI Act no es una amenaza: es un marco que añade dos hábitos —transparencia básica y etiquetado de contenido sintético— a lo que ya hacías con el RGPD. No tienes que volverte abogado. Tienes que ser honesto con tus clientes sobre cuándo hay una IA detrás. Lo demás se gestiona solo.

Alejandro Bravo
Editor responsable

Sigue la actualidad regulatoria europea desde 2022. Resumen útil: cumplir RGPD bien ya cubre el 80% de la mochila del AI Act para un autónomo común.