Forgeron3
Iniciar sesión Demo
/ Seguridad27 abr 20268 min de lectura

AI Act: lo que se aplica realmente a su empresa

El texto está en vigor, las sanciones llegan. La mayoría de sus usos internos siguen siendo de riesgo mínimo — pero hay que haberlo demostrado por escrito antes de que se lo pidan.

F3
El equipo Forgeron3Marsella & Paris

Los cuatro niveles de riesgo, en claro

  • Riesgo inaceptable — prohibido, punto. Puntuación social generalizada, manipulación conductual dirigida, reconocimiento biométrico en tiempo real en el espacio público fuera de excepciones de seguridad. Afecta a muy pocas empresas francesas comunes.
  • Riesgo alto — autorizado, pero con obligaciones pesadas: análisis de impacto, registro de eventos, supervisión humana, documentación técnica. Afecta a los sistemas IA usados en RRHH (cribado de CV), en educación (evaluación), en acceso al crédito, en infraestructuras críticas, en justicia, en migración.
  • Riesgo limitado — obligaciones de transparencia. Sus usuarios deben saber que interactúan con una IA (chatbot, asistente), y que un contenido generado lo es (deepfake, imagen sintética).
  • Riesgo mínimo — ninguna obligación específica. La gran mayoría de los usos internos en PyME cae aquí: búsqueda documental, ayuda a la redacción, síntesis de reuniones, clasificación automática.
Lo esencial a retenerLa mayoría de PyMEs, asesorías y administraciones locales se sitúan en riesgo mínimo o limitado. El riesgo alto afecta a usos muy específicos (RRHH automatizado, scoring, acceso a derechos). La trampa: pasar a riesgo alto sin darse cuenta — un cribado de CV automatizado ya basta.

A quién concierne, de verdad, en su organización

Para una PyME, el único caso que merece vigilancia inmediata es el cribado automatizado de candidaturas. En cuanto una IA filtra CV o puntúa candidatos, usted pasa a riesgo alto. Si lo utiliza sin saberlo a través de un ATS que ha integrado “la IA” en silencio, asume la responsabilidad como desplegador.

Para una asesoría contable, la ayuda a la redacción, a la búsqueda en doctrina o al análisis documental interno sigue siendo de riesgo mínimo. La frontera se mueve si propone a sus clientes una IA que toma decisiones por ellos (scoring de riesgo, calificación de solvencia).

Para una administración local, la atención se centra en el acceso a derechos y servicios públicos. Un asistente que responde a la ciudadanía sobre trámites sigue siendo de riesgo limitado (transparencia). Una IA que pre-clasifique solicitudes de ayuda social o acceso a la vivienda pasaría a riesgo alto.

Calendario 2026-2027 — qué entra en vigor cuándo

  • Febrero 2025 — prohibiciones de riesgo inaceptable, ya aplicadas.
  • Agosto 2025 — obligaciones sobre los modelos de propósito general (GPAI): transparencia sobre los datos de entrenamiento, gestión del riesgo sistémico. Afecta a los proveedores, no a los desplegadores.
  • Agosto 2026 — aplicación general a todos los sistemas IA, incluidas las obligaciones de transparencia del lado del desplegador (riesgo limitado).
  • Agosto 2027 — entrada en vigor de las obligaciones sobre los sistemas de riesgo alto ya en servicio antes de 2026.

Cartografiar sus sistemas IA en cinco pasos

  • 1. Listar. Todas las herramientas donde haya “IA”, “asistente”, “generativo”, “modelo predictivo”, “scoring automático”. Internas y externas (SaaS). Incluya las que no eligió activamente — ATS, antispam, herramientas de marketing.
  • 2. Calificar. Para cada herramienta, ¿para qué sirve, quién es su usuario final, qué decisión influye? Una búsqueda documental interna ≠ un cribado de candidatos.
  • 3. Clasificar. Asignar un nivel de riesgo a cada herramienta, con justificación de una línea. Si la herramienta es dudosa, trátela como el nivel superior hasta resolver.
  • 4. Documentar. Para las herramientas de riesgo limitado o superior, formalizar: quién es responsable, cómo se informa a los usuarios, cuáles son las modalidades de supervisión humana.
  • 5. Revisar. Cada seis meses, o cada vez que se añada una herramienta. La lista envejece rápido.

Sobre la conformidad por el lado de los datos personales, vea RGPD y asistentes IA: las claves de la conformidad.

Las sanciones reales

El AI Act prevé multas administrativas proporcionales, con un tope de 35 millones de euros o el 7 % del volumen de negocio mundial para las prácticas prohibidas — que casi no afectarán a nadie en la práctica. Para los incumplimientos sobre los sistemas de riesgo alto, el tope baja a 15 M€ o 3 %. Para la información falsa transmitida a las autoridades, 7,5 M€ o 1 %.

Más probable que la multa en sí: la publicación de la decisión, y el efecto reputacional. Para administraciones y actores públicos, el riesgo político pesa tanto como el riesgo financiero.

Lo que apenas cambia para usted

Si utiliza una plataforma de asistentes IA encuadrada para la búsqueda documental, la ayuda a la redacción, la síntesis, el análisis documental — sin decisión automatizada con impacto — usted sigue en riesgo mínimo. Ninguna obligación específica que anticipar, más allá de la transparencia básica (“le responde una IA”), ya cubierta por las prácticas honestas.

El trabajo real se resume en: documentar lo que ya hace y saber sacarlo si se lo piden.

¿El AI Act sustituye al RGPD?

No. El AI Act se añade al RGPD. El RGPD regula los datos personales, el AI Act regula los sistemas de IA. Un sistema puede ser conforme con el RGPD y no conforme con el AI Act, y a la inversa. Los dos se acumulan.

¿Una PyME debe nombrar un responsable IA?

No hay obligación formal para los usos de riesgo mínimo. Para los sistemas de riesgo alto, sí en la práctica: hace falta alguien que responda ante la autoridad (probablemente la CNIL en Francia) sobre la documentación y la supervisión humana. Una PyME puede confiar este papel al DPO o al CIO.

¿Y si mi herramienta SaaS dice ser “AI Act ready”?

Es una promesa, no una prueba. La responsabilidad de clasificar su uso y documentar su despliegue sigue en usted (el desplegador), no en el proveedor. Pida la documentación técnica facilitada, léala, y consérvela.

Asegurar su conformidad

Treinta minutos para cartografiar sus usos IA e identificar los que merecen documentación prioritaria.

Reservar demo

Leer a continuación.

/ Seguridad8 min

RGPD y asistentes IA: las claves de la conformidad

Encargo de tratamiento artículo 28, EIPD, derechos de las personas. El método para mantenerse en regla.

Leer →
/ Seguridad11 min

Soberanía IA: lo que significa de verdad

Desmontar el greenwashing soberano en siete puntos concretos.

Leer →
/ Método6 min

10 preguntas que hacer a su proveedor IA

Hosting, datos, modelos, contrato, reversibilidad.

Leer →