El 26 de mayo, el Consejo de Ministros aprobó el Anteproyecto de Ley Orgánica para el buen uso y la gobernanza de la Inteligencia Artificial y lo remitió al Congreso de los Diputados. Los titulares se llenaron de cifras: multas de hasta 35 millones de euros, prohibición de deepfakes sexuales u obligación de etiquetar los contenidos generados por IA, entre otros temas.
Pero lo que no salió tanto en los titulares es que ese anteproyecto de ley todavía tiene que pasar por el Congreso y puede tardar meses e, incluso, sufrir cambios. Y lo que no puede tardar ni cambiar es el Reglamento Europeo de Inteligencia Artificial —el AI Act—, que es de aplicación directa en España desde agosto de 2024 y que el 2 de agosto de 2026, dentro de menos de dos meses, activa la supervisión plena de la AESIA sobre el cumplimiento en España. Con ley española o sin ella.
El problema real no es la multa
Cuando una empresa lee «multas de hasta 35 millones de euros», la reacción natural es pensar que eso es para las grandes. Para las multinacionales. Para las que tienen departamentos legales y se pueden permitir litigios. Algo comprensible y también un error.
El AI Act no diferencia entre grandes y pequeñas empresas en lo fundamental. Diferencia entre quien desarrolla sistemas de IA —los proveedores— y quien los usa. Y, si tu empresa utiliza ChatGPT para redactar propuestas, Claude para analizar contratos, Copilot integrado en el paquete 365 o cualquier asistente en un CRM, tu empresa es legalmente un deployer, un operador de IA. Con obligaciones propias.
Según datos de Wolters Kluwer y BBVA Research de 2026, el 76% de las PYMES españolas ya usa herramientas de IA semanalmente. Sin embargo, sólo el 8% tiene una solución implementada con gobernanza real, lo que significa que aproximadamente el 68% del tejido empresarial español está operando con IA en la sombra: sin registros de uso, sin formación documentada, sin política interna.
Esa situación ya era un problema técnico antes del 2 de agosto pero, a partir del 2 de agosto, es también un problema legal.
Qué lleva meses en vigor y la mayoría desconoce
El AI Act no entró en vigor de golpe. Su aplicación es escalonada y hay una obligación que muchas empresas ignoran porque no generó grandes titulares: el Artículo 4, sobre alfabetización en IA.
Desde febrero de 2025 —hace ya más de un año— toda organización que utilice herramientas de IA tiene la obligación de adoptar medidas para garantizar un nivel suficiente de competencia en IA entre su personal. No es una recomendación. No es una buena práctica. Es una exigencia legal vigente.
La pregunta no es si tu empresa debe formar a su equipo sino si puede demostrar que ya lo ha hecho. Y aquí es donde el problema deja de ser regulatorio y se convierte en operativo. La mayor parte de las PYMES no ha incumplido por negligencia. Ha incumplido porque nadie le explicó que la formación en IA era una obligación desde hace más de un año. Y porque la formación que se suele ofrecer —cursos de prompts, talleres de herramientas— no cumple el estándar que la norma exige.
La norma no pide que el equipo sepa usar ChatGPT. Pide que sepa dirigir la IA con criterio: entender qué tipo de tarea es adecuada para qué sistema, cómo validar los resultados, qué información no debe circular por herramientas no auditadas y cuándo la supervisión humana es innegociable.
Eso es formación con método. No una demo de funcionalidades.
Lo que activa el 2 de agosto
El Omnibus Digital de mayo retrasó las obligaciones técnicas para sistemas de alto riesgo hasta diciembre de 2027. Muchas empresas interpretaron ese titular como un respiro general. No lo es.
Lo que el 2 de agosto activa sin excepción es la supervisión y la capacidad sancionadora plena de la AESIA sobre el cumplimiento del AI Act en España. Eso incluye el Artículo 4 —formación del equipo— y las normas de transparencia del Artículo 50, que obligan a que cualquier sistema conversacional informe al usuario de que está interactuando con una IA.
Para una PYME que no desarrolla IA sino que la usa, el punto de partida obligatorio es saber exactamente qué herramientas de IA utiliza el equipo, en qué procesos y con qué datos. Parece obvio. En la práctica, la mayoría de empresas no tiene ese inventario porque mucha IA es invisible: viene integrada en el CRM, en el software de contabilidad, en las herramientas de marketing. Nadie la instaló expresamente. Simplemente estaba ahí.
Sin ese inventario, no se puede hacer nada de lo que viene después. No se puede documentar la formación si no sabes qué sistemas usa el equipo. No se puede redactar una política interna si no sabes qué herramientas autorizar. Y no se puede demostrar transparencia frente a clientes si no sabes qué sistemas conversacionales están operando en tu nombre.
Eso es lo que el 2 de agosto va a poner en evidencia. No la falta de documentación técnica sino la falta de conocimiento básico sobre el propio uso de la IA.
El problema que la regulación no va a resolver sola
Hay algo que los textos legales no dicen pero que cualquier persona que trabaje con PYMES ve con claridad: el problema de fondo no es la ausencia de regulación. Es la ausencia de método.
El Banco de España lo ha documentado: la barrera principal para la adopción de IA en las empresas españolas no es el coste. Es la falta de personal cualificado para que esa adopción sea sostenida, provechosa y responsable. El 45,8% de las empresas lo señala como el obstáculo principal.
La interpretación habitual de ese dato es que hace falta contratar perfiles técnicos: analistas de datos, especialistas en machine learning, consultores de IA. Es una interpretación parcialmente correcta para las grandes empresas. Para las PYMES, es prácticamente inviable y, además, innecesaria.
Lo que una PYME necesita no es un departamento de IA. Necesita que las personas que ya trabajan en ella —el responsable comercial, el equipo de administración, la dirección— sean capaces de dirigir la IA con criterio profesional. De saber qué pedirle, cómo validar lo que genera, qué información no debe manejar y cuándo no usarla.
Eso no se resuelve contratando un perfil técnico. Se resuelve formando al equipo con un método que conecte la estrategia de cada empresa con el uso concreto que va a hacer de la tecnología.
Qué hacer en los próximos 60 días
El 2 de agosto no es una fecha lejana. Y el orden importa:
- Lo primero es el inventario. No se puede gestionar lo que no se conoce. Listar qué herramientas de IA usa el equipo, en qué procesos y con qué datos suele revelar más exposición de la que se esperaba. Es el paso que nadie quiere hacer porque parece burocrático, y es el que hace posible todo lo demás.
- Lo segundo es la formación. Si el equipo ya ha recibido formación en IA, documentarla: fecha, contenido, quién participó. Si no la ha recibido, planificarla ahora. No cualquier formación. Una que pueda responder a la pregunta de la AESIA: ¿sabe su equipo qué puede y qué no puede hacer con IA en el contexto de su trabajo? Un curso de prompts no responde esa pregunta.
- Lo tercero es la política interna. No tiene que ser extensa. Tiene que responder a tres preguntas concretas: qué herramientas están autorizadas, qué información no puede introducirse en sistemas externos, y quién supervisa el uso de IA en los procesos que afectan a terceros. Una página bien escrita vale más que un documento de cincuenta que nadie lee.
Ninguna de estas tres cosas requiere un equipo legal para empezar. Requiere que la dirección decida que esto es prioritario.
La gobernanza sin método es papel
El riesgo que más me preocupa en estas semanas no es que las PYMES no cumplan la regulación. Es que la cumplan en papel y no en la práctica.
Una política interna de IA que nadie lee no es gobernanza. Un curso de una hora sobre el AI Act no es formación con criterio. Un inventario de herramientas que se archiva y no se actualiza no protege a nadie.
La diferencia entre cumplir en papel y cumplir de verdad es la misma diferencia que hay entre una empresa que tiene un procedimiento escrito y una empresa que lo aplica. La norma puede obligar a tener el procedimiento, pero no puede garantizar que se aplique.
Eso depende de si el equipo ha interiorizado el criterio profesional para dirigir la IA: sabe cuándo usarla, cuándo no, cómo validar lo que genera y cómo tomar decisiones cuando la IA no da respuestas claras.
Ese criterio no sale de leer el reglamento. Sale de practicarlo.
¿Quieres saber en qué punto está tu equipo antes del 2 de agosto?
En SCRIVEX Lab puedes hacer una simulación práctica de 30 minutos sobre el uso real de IA en tu empresa.
