AI Act + ISO 42001 para PYME en 2026: guía de cumplimiento
Tabla de contenidos
- Qué es el AI Act y a quién obliga
- Calendario de aplicación 2024-2027
- Clasificación de riesgo: las 4 categorías
- ISO 42001: el sistema de gestión certificable
- AESIA y guías oficiales publicadas
- Sanciones reales y cómo se calculan
- Hoja de ruta de implantación PYME en 6 meses
- Cuánto cuesta cumplir
- Preguntas frecuentes
1. Qué es el AI Act y a quién obliga
El AI Act (Reglamento UE 2024/1689) es el primer marco normativo integral del mundo para inteligencia artificial. Aprobado por el Parlamento Europeo el 13 de marzo de 2024 y publicado en el Diario Oficial de la UE el 12 de julio de 2024, entró en vigor el 1 de agosto de 2024 con aplicación escalonada hasta agosto de 2027.
Obliga a tres tipos de actores:
- Proveedores (developers): empresas que desarrollan sistemas de IA, incluso si están fuera de la UE pero su sistema se comercializa o utiliza en la UE.
- Implantadores (deployers): empresas que usan sistemas de IA en sus procesos. Aquí entran las PYMEs españolas que usan ChatGPT Enterprise, Microsoft Copilot, herramientas de RRHH con scoring automatizado, plataformas de recomendación en e-commerce, etc.
- Importadores y distribuidores: quienes ponen en mercado UE sistemas de IA de terceros países.
No hay umbral mínimo de facturación o plantilla. Una microempresa con 3 empleados que use un chatbot con IA para atender clientes está obligada a cumplir los requisitos correspondientes a su nivel de riesgo. Lo que sí varía con el tamaño son las obligaciones documentales (más ligeras para PYME en algunos artículos) y las sanciones (proporcionales a facturación con suelos mínimos).
1.1 Ámbito de aplicación material
El AI Act define "sistema de IA" como un sistema basado en máquinas con autonomía variable que infiere a partir de inputs cómo generar outputs (predicciones, contenido, recomendaciones, decisiones) que pueden influir en entornos físicos o virtuales. Es deliberadamente amplio.
Excluye: software determinista clásico, sistemas de IA exclusivamente para investigación científica, sistemas militares y de defensa nacional.
1.2 Por qué importa para PYME española en concreto
Tres motivos:
- Cadena de proveedores con grandes cuentas: si tu cliente es un banco, una farmacéutica o una administración, te van a exigir cumplimiento documentado antes de renovar contrato.
- Subvenciones públicas (Red.es, Kit Consulting categoría IA): condicionan ayudas a cumplimiento.
- Riesgo reputacional: una sanción AEPD/AESIA es noticia con nombre y apellidos.
2. Calendario de aplicación 2024-2027
| Fecha | Qué entra en vigor |
|---|---|
| 1 agosto 2024 | Entrada en vigor del Reglamento |
| 2 febrero 2025 | Prohibiciones de IA inaceptable (sistemas de social scoring, manipulación, reconocimiento emocional en lugares de trabajo) |
| 2 agosto 2025 | Obligaciones de modelos de IA de propósito general (GPAI), autoridades nacionales (AESIA), sanciones aplicables a prohibiciones |
| 2 agosto 2026 | Aplicación plena para sistemas de alto riesgo del Anexo III (la fecha que más importa a la mayoría de PYME) |
| 2 agosto 2027 | Aplicación plena para sistemas de alto riesgo integrados en productos regulados (Anexo I): maquinaria, juguetes, dispositivos médicos, etc. |
La fecha clave para una PYME que use IA en sus procesos comerciales es 2 de agosto de 2026. Antes de esa fecha hay que tener la documentación, los procesos y las salvaguardias operativas.
3. Clasificación de riesgo: las 4 categorías
El AI Act clasifica los sistemas de IA en cuatro niveles:
3.1 Riesgo inaceptable (prohibidos)
Sistemas que están directamente prohibidos desde febrero 2025. Por ejemplo: social scoring por administración pública, manipulación subliminal, evaluación emocional en aulas o lugares de trabajo, identificación biométrica masiva en tiempo real en espacios públicos (con excepciones policiales muy tasadas).
Si un sistema cae aquí, no hay opción de mitigación. Hay que retirarlo.
3.2 Riesgo alto (la mayoría de obligaciones)
Es la categoría donde cae el 90 % de los casos prácticos en PYME. El Anexo III del Reglamento enumera ocho áreas:
- Biometría (identificación, categorización por características sensibles).
- Infraestructuras críticas (gestión de tráfico, agua, gas, electricidad).
- Educación y formación profesional (admisión, evaluación, asignación de plazas).
- Empleo, recursos humanos y trabajo autónomo (selección, ascensos, ceses, asignación de tareas con sistemas algorítmicos).
- Servicios públicos y privados esenciales (scoring crediticio, beneficios sociales, emergencias 112, seguros).
- Aplicación de la ley (perfilado de personas, evaluación de pruebas).
- Migración, asilo y control de fronteras.
- Administración de justicia y procesos democráticos.
Para PYME, las áreas que más se activan son empleo/RRHH (cualquier plataforma de scoring de candidatos) y servicios privados esenciales (algoritmos de fijación de primas en seguros, scoring crediticio en fintech).
Obligaciones de alto riesgo: - Sistema de gestión de calidad documentado. - Datos de entrenamiento revisados (representatividad, sesgos). - Documentación técnica y trazabilidad. - Transparencia para el usuario afectado. - Supervisión humana significativa. - Robustez, ciberseguridad y precisión. - Marcado CE y declaración de conformidad. - Registro en base de datos UE.
3.3 Riesgo limitado (obligaciones de transparencia)
Sistemas que interactúan directamente con personas o generan contenido sintético. Obligación principal: informar al usuario de que está interactuando con un sistema de IA. Aquí caen:
- Chatbots de atención al cliente.
- Generadores de texto/imagen/vídeo (cuando se publican).
- Sistemas de detección emocional o categorización biométrica (con excepciones de seguridad).
Una PYME que use ChatGPT o un chatbot debe informar al usuario y, si genera deepfakes o contenido sintético, marcarlo como tal.
3.4 Riesgo mínimo (sin obligaciones)
Filtros de spam, recomendadores básicos, sistemas de NPC en videojuegos. Sin obligaciones específicas. Es la inmensa mayoría de uso cotidiano.
4. ISO 42001: el sistema de gestión certificable
Publicada en diciembre 2023, ISO/IEC 42001:2023 es la primera norma internacional certificable de Sistema de Gestión de Inteligencia Artificial (AIMS, AI Management System). Es el equivalente para IA de lo que ISO 9001 es para calidad o ISO 27001 para seguridad de la información.
4.1 Por qué ISO 42001 es la respuesta al AI Act
El AI Act exige sistema de gestión de calidad pero no certifica un sistema concreto. ISO 42001 sí permite demostrar ante un auditor independiente que se cumplen los requisitos. Las cuatro grandes certificadoras españolas (AENOR, Bureau Veritas, SGS, BSI) ya emiten certificados ISO 42001 desde 2024.
Implantar ISO 42001 no es obligación legal pero es la forma estándar y más eficiente de evidenciar cumplimiento. Una empresa con ISO 42001 entregable a un auditor o cliente B2B reduce drásticamente la carga de prueba.
4.2 Estructura de la norma
ISO 42001 sigue la Annex SL (estructura común a ISO 9001, 14001, 27001, 45001):
- Contexto y partes interesadas.
- Liderazgo y política de IA.
- Planificación (riesgos y oportunidades).
- Soporte (recursos, competencia, comunicación, documentación).
- Operación (controles AI-específicos: trazabilidad, datos, supervisión, gestión de incidentes).
- Evaluación del desempeño.
- Mejora continua.
El núcleo diferencial está en el Anexo A con 39 controles específicos para IA: gobernanza de datos, gestión del ciclo de vida del modelo, transparencia, responsabilidad y gestión de incidentes IA.
4.3 Cómo se relaciona con otras ISO
Si la empresa ya tiene ISO 27001 (seguridad información) y/o ISO 9001 (calidad), parte del trabajo está hecho:
- ISO 27001 cubre ~40 % de los controles ISO 42001 (gestión de datos, ciberseguridad, control de accesos).
- ISO 9001 cubre ~25 % (sistema de gestión documental, mejora continua, auditorías).
Una PYME que ya tenga 27001 o 9001 puede implantar ISO 42001 como integración al SGI existente con coste reducido (50-65 % del precio standalone).
5. AESIA y guías oficiales publicadas
La Agencia Española de Supervisión de Inteligencia Artificial (AESIA) es la autoridad nacional competente desde su creación efectiva en agosto 2024. Sede en A Coruña.
AESIA publicó 16 guías prácticas en diciembre 2025 dirigidas a empresas españolas. Las más relevantes para PYME:
- Guía de clasificación de riesgo paso a paso.
- Guía de obligaciones para implantadores (deployers).
- Guía de información a usuarios afectados.
- Plantilla de declaración de conformidad.
- Guía sectorial para empleo y RRHH.
- Guía sectorial para servicios financieros y scoring.
Las guías son vinculantes en la medida en que reflejan la interpretación oficial del Reglamento. No son ley pero un inspector las usará como criterio. Cumplir las guías AESIA es la forma más eficiente de garantizar cumplimiento.
Enlace oficial: https://www.aesia.gob.es/
6. Sanciones reales y cómo se calculan
El Reglamento establece tres niveles de sanción:
| Tipo de infracción | Sanción máxima |
|---|---|
| Violación de prohibiciones (riesgo inaceptable) | 35.000.000 € o 7 % de facturación mundial anual (la mayor) |
| Incumplimiento de obligaciones de alto riesgo o transparencia | 15.000.000 € o 3 % de facturación |
| Información incorrecta a autoridades | 7.500.000 € o 1 % de facturación |
Para PYME hay un suelo mínimo: las sanciones no pueden ser inferiores al porcentaje pero se aplican proporcionalmente al tamaño según el art. 99.6 del Reglamento. Una pyme con 2 M€ de facturación enfrenta sanciones máximas teóricas de 140.000 €, 60.000 € y 20.000 € respectivamente.
Aplicación práctica: las sanciones se modulan considerando tamaño, gravedad, duración, número de afectados, daño causado, beneficios obtenidos y antecedentes. Una primera infracción documentada con voluntad de subsanación obtiene sanciones muy inferiores al máximo.
7. Hoja de ruta de implantación PYME en 6 meses
Plan estándar Summum para PYME 10-250 empleados.
Mes 1 · Diagnóstico
- Inventario de todos los sistemas con componente IA (incluido SaaS de terceros).
- Clasificación de riesgo de cada sistema (con criterios AESIA).
- Análisis de brechas vs requisitos AI Act + ISO 42001.
- Entregable: informe de diagnóstico con prioridades.
Mes 2 · Política y gobernanza
- Política corporativa de IA aprobada por dirección.
- Comité de IA (3-5 personas).
- Designación de responsable de IA (puede ser DPO ampliado o nueva figura).
- Procedimiento de evaluación de impacto algorítmico (DPIA-AI).
Mes 3-4 · Implantación de controles
- Trazabilidad de datos de entrenamiento.
- Documentación técnica de cada sistema.
- Procedimiento de supervisión humana.
- Procedimiento de gestión de incidentes IA.
- Información a usuarios afectados (textos legales).
- Registro en base de datos UE (si aplica alto riesgo).
Mes 5 · Auditoría interna
- Pre-auditoría con la metodología de la certificadora elegida.
- Cierre de no conformidades.
- Validación de evidencias documentales.
Mes 6 · Auditoría de certificación
- Auditoría fase 1 (documental) por organismo certificador (AENOR / BV / SGS / BSI).
- Auditoría fase 2 (operativa).
- Emisión del certificado ISO 42001.
- Vigencia 3 años con auditorías de seguimiento anuales.
8. Cuánto cuesta cumplir
Orientación de precios 2026 verificada con tres certificadoras y dos consultoras nacionales.
| Concepto | PYME 10-50 empleados | PYME 50-250 empleados |
|---|---|---|
| Implantación AI Act + ISO 42001 (consultoría) | 9.000-13.000 € | 14.000-22.000 € |
| Auditoría de certificación (AENOR/BV/SGS/BSI) | 4.500-6.500 € | 6.500-9.500 € |
| Mantenimiento anual (auditorías de seguimiento + actualizaciones) | 1.800-3.000 €/año | 3.000-5.000 €/año |
| Total año 1 | 13.500-19.500 € | 20.500-31.500 € |
| Coste anual recurrente | 1.800-3.000 € | 3.000-5.000 € |
Reducciones aplicables:
- Empresa con ISO 27001 implantada: -25 % a -40 % en consultoría.
- Empresa con ISO 9001 implantada: -15 % a -25 %.
- Subvención Kit Consulting (categoría Inteligencia Artificial): hasta 12.000-24.000 € de bono digital. Solicitar antes de iniciar.
9. Preguntas frecuentes
¿Mi pyme usa ChatGPT internamente para tareas de oficina, ¿estoy obligado a algo?
Si ChatGPT toma o influye en decisiones sobre personas (selección, evaluación, scoring), sí: caes en riesgo alto y debes documentar, supervisar e informar. Si solo lo usas para redactar emails o generar drafts internos sin toma de decisión automatizada, caes en riesgo limitado: obligación de informar al usuario final si el output llega a él como contenido de IA.
¿Necesito ISO 42001 si solo uso herramientas de IA de terceros (Microsoft Copilot, Google Workspace AI)?
No legalmente obligatorio, pero altamente recomendable si vendes a sectores regulados (banca, seguros, sanidad, AAPP) o si manejas datos personales sensibles. Tu cliente o regulador te lo va a pedir.
¿Quién audita el cumplimiento del AI Act en España?
AESIA con apoyo de AEPD (datos personales), CNMC (competencia), CNV (servicios financieros), Banco de España (banca). El primer punto de contacto suele ser AESIA.
¿Puede una sola persona ser DPO y responsable de IA?
Sí, si tiene formación específica adicional en IA y los recursos para asumir ambas figuras. En PYME pequeñas (<50 empleados) es lo habitual; en empresas medianas conviene separar para evitar conflictos de interés.
¿La auditoría de ISO 42001 incluye revisar el código de los modelos?
No. Revisa el sistema de gestión (políticas, procedimientos, evidencias). El código y los datasets se documentan y se demuestra trazabilidad, pero no se hace ingeniería inversa del modelo en una auditoría estándar.
¿Qué pasa si subcontratamos el desarrollo de IA a una empresa de fuera de la UE?
Sigues siendo responsable como deployer ante el regulador europeo. Debes asegurar contractualmente que el proveedor cumple AI Act y obtener su declaración de conformidad si aplica.
¿La AESIA cobra tasas?
No por la supervisión general. Sí por trámites concretos (consultas vinculantes, registros, certificaciones específicas). Las cuantías están en proceso de fijación a 2026.
¿Cuánto tarda obtener el certificado ISO 42001?
Si parte de cero: 5-7 meses. Si la empresa tiene ya 27001 o 9001 integrados: 3-4 meses.
Próximo paso
Si tu PYME usa cualquier sistema de IA de forma operativa (HR tech, scoring, recomendadores, chatbots, generadores de contenido publicado), diagnosticar tu posición frente al AI Act cuesta 1.500-2.500 € y te ahorra 50.000-200.000 € en sanciones potenciales entre 2026 y 2028.
Solicita diagnóstico AI Act + ISO 42001 con Summum →
Servicios relacionados de Summum (Grupo): - Summum Calidad — implantación y certificación ISO 42001, ISO 27001, ENS. - Summum Consultoría — parte jurídica del AI Act, DPIA-AI, política corporativa. - Summum IA — implementación técnica y supervisión continua. - Kit Consulting — financiación pública aplicable. - Ciberseguridad y protección de datos — convergencia ISO 27001 + 42001.
Fuentes oficiales consultadas: - BOE/DOUE: Reglamento (UE) 2024/1689 (AI Act) — eur-lex.europa.eu/eli/reg/2024/1689. - AESIA, Agencia Española de Supervisión de Inteligencia Artificial — aesia.gob.es. - AENOR, certificación ISO/IEC 42001:2023 — aenor.com. - ISO Standards Catalog: iso.org/standard/81230.html. - Comisión Europea, AI Act portal: digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai. - AEPD, posicionamiento AI Act + RGPD: aepd.es.
Pillar publicado: 2026. Última revisión: 2026-05-20. Autor: Ángel Ortega Castro · Summum Marketing · Director del Grupo Summum.
Schema markup recomendado: Article (con wordCount, keywords, inLanguage="es-ES", dateModified) + BreadcrumbList + FAQPage (8 Q&A) + Service (mention de ISO 42001 consulting) + Organization (Summum) en @graph único.