Si tienes un chatbot en tu web, un voicebot en tu centralita o un asistente automatizado en WhatsApp que habla con clientes, esto te afecta. No es opcional, no es interpretable, y no se va a "retrasar otro año" como muchos esperan. El Reglamento UE 2024/1689 — el AI Act europeo — está aprobado, publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024, y sus obligaciones de transparencia para sistemas de IA conversacional se activan el 2 de agosto de 2026.
Hablo con docenas de PYMEs cada mes en sectores muy distintos —hoteles, despachos de abogados, brokers de hipotecas, instaladores solares, inmobiliarias— y lo veo cada semana: nadie en España PYME tiene claro qué tiene que hacer. La mayoría sigue creyendo que es "una cosa de Bruselas que ya veremos". Otros piensan que "como yo no entreno modelos, no me afecta". Otros sí saben que existe el AI Act, pero confunden las fases del calendario y piensan que tienen hasta 2027.
Este artículo no es un resumen genérico ni un tutorial legalista. Es lo que llevo aprendiendo desde octubre de 2024, cuando empecé a ajustar nuestra plataforma para que los voicebots de NovaChat IA cumplan el estándar AI Act desde el primer día de cada cliente. Lo cuento sin jerga jurídica innecesaria, con fechas exactas, cifras reales y el cronograma concreto. Después te entrego un checklist accionable de 5 acciones que tienes que hacer antes del 2 de agosto de 2026.
Tabla de contenidos
- ¿Qué es el AI Act y por qué te afecta a ti, no solo a OpenAI?
- Los 4 niveles de riesgo y dónde encaja tu chatbot
- El cronograma real del AI Act: fechas clave
- Las 4 obligaciones que entran el 2 de agosto de 2026
- Casos concretos: hoteles, abogados, hipotecas, solar, inmobiliarias
- ¿Qué pasa si no cumples? Multas y autoridades
- Las 5 acciones concretas que tienes que hacer YA
- Cómo lo estamos haciendo nosotros con nuestros clientes
- Checklist de 10 preguntas: ¿tu chatbot cumple?
- Preguntas frecuentes
¿Quieres saber si tu chatbot actual cumple? Te lo auditamos gratis
Te revisamos en 30 minutos si tu chatbot, voicebot o asistente automatizado cumple las obligaciones del AI Act para el 2 de agosto de 2026. Sin compromiso, sin venderte nada.
Pedir auditoría por WhatsApp Conocer NovaChat IA¿Qué es el AI Act y por qué te afecta a ti, no solo a OpenAI?
El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo de 13 de junio de 2024, conocido como AI Act o Ley Europea de Inteligencia Artificial, es el primer marco normativo integral del mundo sobre sistemas de inteligencia artificial. Se publicó en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024, con un calendario escalonado de aplicación que se extiende hasta el 2 de agosto de 2027 para las obligaciones de alto riesgo.
El error más común que veo en empresas españolas es pensar que el AI Act regula solo a los gigantes que entrenan modelos —OpenAI, Anthropic, Google, Meta, Mistral— y no a quienes los usan. Es un error que te puede salir muy caro. El Reglamento distingue entre:
- Proveedores (Article 3.3): quienes desarrollan o ponen en mercado un sistema de IA con su nombre o marca. Aquí entran OpenAI, Anthropic, los proveedores de plataformas voice AI y, sí, NovaChat IA cuando ofrece su solución bajo marca propia.
- Implementadores o "deployers" (Article 3.4): personas físicas o jurídicas que usan un sistema de IA bajo su autoridad para una finalidad concreta. Aquí entras tú, dueño de un hotel, despacho de abogados o inmobiliaria que tienes un chatbot atendiendo a tus clientes. Tienes obligaciones propias e independientes.
- Importadores y distribuidores: relevantes en sistemas de alto riesgo pero menos habituales para PYME.
Esto significa que aunque uses la API de GPT-4 de OpenAI o de Claude de Anthropic, tú eres el responsable de cumplir las obligaciones de transparencia frente a tu cliente final. OpenAI cumplirá las suyas como proveedor de modelo de propósito general (GPAI); tú cumples las tuyas como deployer. No son intercambiables, no son delegables por contrato, y AESIA puede sancionarte directamente a ti.
Los 4 niveles de riesgo y dónde encaja tu chatbot
El AI Act estructura toda su regulación sobre una clasificación de cuatro niveles de riesgo. Saber en cuál encaja tu sistema es el primer paso para entender qué obligaciones tienes. La mayoría de chatbots y voicebots de PYME caen en "riesgo limitado", pero hay excepciones importantes que conviene conocer.
| Nivel de riesgo | Qué incluye | Obligaciones para PYME |
|---|---|---|
| Riesgo inaceptable | Sistemas de manipulación cognitiva, scoring social, identificación biométrica masiva, reconocimiento de emociones en trabajo/educación | Prohibidos. Si los usas, sanción tier 1 (hasta 35M€/7%) |
| Alto riesgo | Sistemas listados en Anexo III: scoring crediticio, selección de personal, evaluación educativa, acceso a servicios esenciales, justicia, infraestructuras críticas | Evaluación de conformidad, marcado CE, registro UE, documentación técnica completa, supervisión humana, monitorización post-mercado |
| Riesgo limitado | Chatbots, voicebots, sistemas que interactúan con personas, generación de contenido sintético (texto, audio, imagen) | Obligaciones de transparencia (Art. 50): informar al usuario que es IA, marcar contenido sintético |
| Riesgo mínimo | Sistemas de IA en videojuegos, filtros de spam, asistentes internos sin contacto con cliente final | Ninguna obligación específica. Códigos de conducta voluntarios |
El detalle crítico que mucha gente pasa por alto
Un chatbot o voicebot, por defecto, es riesgo limitado. Pero puede pasar a alto riesgo si cumple cualquiera de estos supuestos del Anexo III:
- Toma decisiones automatizadas sobre acceso al crédito o seguros (un chatbot que aprueba o deniega solicitudes de hipoteca).
- Se usa para filtrar candidatos a un puesto de trabajo (un voicebot que descarta CVs).
- Evalúa el rendimiento educativo de un estudiante o decide su acceso a un programa formativo.
- Decide sobre acceso a servicios esenciales: vivienda social, ayudas públicas, prestaciones.
- Se usa en contexto migratorio o asilo: control fronterizo, verificación de identidad para visados.
- Apoya decisiones judiciales o policiales: predicción de reincidencia, asignación de jueces.
En la práctica para una PYME: si tu chatbot solo informa, cualifica leads y agenda visitas, sigue siendo riesgo limitado. Si tu chatbot decide automáticamente quién entra y quién no entra a algo que afecta sus derechos (un préstamo, un alquiler, una entrevista), pasas a alto riesgo. Y el alto riesgo es otra liga: documentación técnica completa, marcado CE, registro en base de datos UE, evaluación de conformidad. Costes de cumplimiento que pueden superar fácilmente los 20.000-50.000 € para una PYME.
El cronograma real del AI Act: fechas clave
El AI Act se aplica de forma escalonada. Esto es lo que muchos consultores no explican bien. No es "el AI Act entra en vigor en agosto de 2026". Es un calendario complejo donde diferentes obligaciones se activan en diferentes fechas. Te lo simplifico:
| Fecha | Qué se activa | ¿Afecta a tu chatbot PYME? |
|---|---|---|
| 1 ago 2024 | Entrada en vigor formal del Reglamento UE 2024/1689 | Inicio del cronómetro, sin obligaciones operativas |
| 2 feb 2025 | Prohibición de sistemas de IA de "riesgo inaceptable" (Art. 5) | Sí, indirecto: comprueba que tu chatbot no manipula ni discrimina |
| 2 ago 2025 | Reglas de gobernanza, autoridades nacionales (AESIA), sanciones, obligaciones de proveedores GPAI (OpenAI, Anthropic, Google) | Sí, indirecto: tus proveedores ya están obligados |
| 2 ago 2026 | Obligaciones de transparencia (Art. 50) para chatbots, voicebots y contenido sintético. Aplicación general del Reglamento. | SÍ, directamente. Esta es tu fecha. |
| 2 ago 2027 | Obligaciones plenas para sistemas de alto riesgo (Anexo III) | Solo si tu sistema clasifica como alto riesgo |
| 31 dic 2030 | Sistemas de alto riesgo ya integrados en componentes de seguridad de productos regulados | No aplica habitualmente a PYME de servicios |
La fecha que tienes que rodear en rojo en el calendario es el 2 de agosto de 2026. A partir de ese día, cualquier chatbot, voicebot o sistema de IA generativa que tu PYME tenga en producción en territorio europeo —da igual desde dónde se aloje el servidor, lo que cuenta es a quién atiende— tiene que cumplir las obligaciones del Artículo 50 del Reglamento. Y no hay periodo de gracia añadido: las obligaciones se aplican desde esa fecha, no a partir de esa fecha con tres meses de cortesía.
Las 4 obligaciones que entran el 2 de agosto de 2026
El Artículo 50 del Reglamento UE 2024/1689 ("Obligaciones de transparencia para los proveedores e implementadores de determinados sistemas de IA") es el corazón de lo que tienes que cumplir como PYME con chatbot o voicebot. Tiene cuatro obligaciones operativas distintas. Las traduzco a lenguaje claro y te digo cómo se materializan en la práctica.
Obligación 1: Informar al usuario que está hablando con una IA
Es la más conocida y la más fácil de cumplir, pero también la más incumplida. El Artículo 50.1 del Reglamento exige que los sistemas de IA destinados a interactuar directamente con personas físicas se diseñen y desarrollen de tal manera que las personas físicas afectadas sean informadas de que están interactuando con un sistema de IA, salvo que esto sea obvio "desde el punto de vista de una persona física razonablemente bien informada".
En la práctica, esto significa:
- Voicebots telefónicos: deben anunciar al inicio de la llamada algo como "Hola, soy el asistente virtual automatizado de [Empresa]". No vale "Hola, soy María de [Empresa]" sin más, porque das una impresión engañosa de humanidad.
- Chatbots web: deben tener un identificador visible (icono, etiqueta "Asistente IA", mensaje inicial) que deje claro que no se está hablando con un humano.
- Asistentes WhatsApp: el primer mensaje del bot tiene que dejar claro su naturaleza. Si usas un nombre de pila, debes acompañarlo: "Soy Nova, el asistente automatizado de [Empresa]".
- Multilingüe: la información debe darse en el idioma del usuario, no solo en el principal de tu empresa.
La excepción de "obviedad" del Artículo 50.1 es estrecha: solo se aplica cuando el contexto hace evidente la naturaleza artificial (por ejemplo, una app de chat con bots de personajes ficticios). En un contexto comercial PYME, no aplica casi nunca.
Obligación 2: Marcar el contenido sintético generado
El Artículo 50.2 obliga a los proveedores de sistemas de IA generativa a marcar los outputs (audio, vídeo, texto, imagen) de forma que sean detectables como artificiales mediante metadatos legibles por máquina. Esto se materializa principalmente en marcas de agua técnicas (C2PA, watermarking criptográfico).
Como deployer PYME, esto te afecta de forma indirecta: si generas audio sintético con la voz de un cliente o de tu personal (por ejemplo, clonación de voz para un voicebot), o si usas un avatar generado por IA en tu web, debes asegurarte de que el sistema proveedor marca técnicamente el contenido. En la práctica, los proveedores serios (ElevenLabs, Play.HT, Resemble AI) ya lo hacen por defecto desde 2025.
El Artículo 50.4 es más directo para PYME: si publicas contenido generado por IA que se presenta como auténtico (artículo de blog, declaración, vídeo de empleados que no existen), debes informar visiblemente que el contenido ha sido generado o manipulado artificialmente. Las disclaimers tipo "contenido generado parcialmente con asistencia de IA" responden a esta obligación.
Obligación 3: Documentación técnica accesible para autoridades
Aunque la documentación técnica completa solo se exige para sistemas de alto riesgo, los sistemas de riesgo limitado también deben poder demostrar a una autoridad que cumplen las obligaciones de transparencia. En términos prácticos, esto significa que necesitas mantener:
- Descripción del sistema: qué LLM o modelo usa (GPT-4, Claude 3, Gemini, modelo propio), qué proveedor, qué versión.
- Finalidad de uso: para qué se usa el chatbot, qué tareas realiza, qué decisiones toma o no toma.
- Política de transparencia: documento interno donde describes cómo informas al usuario, qué mensaje de inicio, cómo se identifica el bot.
- Tratamiento de datos: dónde se almacenan conversaciones, qué se anonimiza, contrato de Encargado del Tratamiento (DPA) con el proveedor del modelo.
- Logs de interacciones: registros de las conversaciones (de forma agregada o muestreada) que permitan demostrar el cumplimiento ante una inspección.
Esto no es un dossier de 200 páginas. Para una PYME, suelen ser entre 6 y 15 páginas razonables. Si tu proveedor de chatbot te entrega esta documentación firmada, ya tienes la mitad del trabajo hecho.
Obligación 4: Supervisión humana en decisiones que afecten a derechos
Para sistemas de riesgo limitado, no hay obligación general de supervisión humana del Artículo 14 (esa es para alto riesgo). Pero, en la práctica, cuando tu chatbot interactúa con clientes en contextos donde puede afectar a derechos contractuales o económicos (un cliente reclama, un cliente quiere cancelar, un cliente exige cumplimiento de garantía), tienes que garantizar:
- Vía de escalado a humano claramente disponible y comunicada.
- Posibilidad real de revisar y modificar decisiones automáticas del bot.
- Canal de queja del usuario que permita reportar problemas del propio sistema IA.
El RGPD (Art. 22) ya exige no someter al usuario a decisiones automatizadas con efectos jurídicos sin intervención humana en muchos casos; el AI Act lo refuerza desde la perspectiva del sistema en sí. Si tu chatbot puede cancelar una reserva, denegar un reembolso o cerrar una cuenta, necesita supervisión humana documentada.
Casos concretos: cómo afecta a 5 sectores en los que trabajamos
Te lo bajo a tierra con cinco casos sectoriales de las PYMEs con las que trabajamos. No teoría: cómo se aplica en su día a día y dónde está el riesgo concreto.
Hoteles y apartamentos turísticos
En el sector hotelero, el riesgo principal es de transparencia: muchos voicebots de recepción virtual se presentan al inicio de la llamada con un nombre de pila ("Hola, soy María") sin aclarar que son IA. Esto será incumplimiento claro a partir del 2 de agosto de 2026. Solución sencilla: ajustar el script de saludo a "Hola, soy el asistente virtual automatizado del [Nombre del hotel], ¿en qué puedo ayudarte?". Cero coste, cero fricción con el huésped — los datos que hemos visto en hoteles muestran que la satisfacción no baja cuando se comunica claramente que es IA, baja cuando hay engaño y el huésped lo descubre. Más detalles sobre voicebots hoteleros aquí: solución NovaChat IA para hoteles.
Despachos de abogados y asesores legales
Aquí el riesgo es doble: transparencia básica y posible recalificación a alto riesgo. Si tu chatbot legal solo informa sobre servicios del despacho, agenda primera consulta y cualifica leads, sigue siendo riesgo limitado. Pero si tu chatbot da "consejo legal preliminar" automatizado sobre casos concretos (probabilidad de éxito, encaje legal, recomendación de actuación), el Anexo III del Reglamento puede recalificarlo como alto riesgo por "acceso a justicia". Recomendación práctica: limita el chatbot a información sobre el despacho y agenda, y deriva siempre la valoración del caso a un abogado humano. Para más contexto sobre captación con IA en despachos: solución NovaChat IA para abogados.
Brokers de hipotecas y financiación
Este sector es el más expuesto a recalificación a alto riesgo. Si tu chatbot recoge datos del cliente y te limitas a pasar la solicitud al banco para que decida, eres riesgo limitado. Pero si tu chatbot o sistema interno deniega automáticamente solicitudes por scoring de capacidad de pago, ratios o algoritmo propio, entras en el Anexo III, punto 5(b): "evaluar la solvencia de personas físicas o establecer su puntuación crediticia". Eso es alto riesgo, marcado CE, registro UE, documentación técnica completa. Las sanciones por incumplimiento como deployer de alto riesgo son tier 2: 15M€ o 3% facturación. Solución práctica: deja todas las decisiones de scoring crediticio en manos del banco emisor, no automatices la denegación en tu lado. Más sobre voicebots para brokers hipotecarios: solución NovaChat IA para hipotecas.
Instaladores de paneles solares
Sector tranquilo desde el punto de vista AI Act. Tu chatbot solar suele hacer pre-cualificación de leads, calcula ahorro estimado, explica subvenciones y agenda visita técnica. Todo eso es riesgo limitado, con obligaciones simples de transparencia. El único punto a vigilar: si tu sistema "decide" automáticamente que un cliente no es elegible para una subvención (NextGen, MOVES, deducciones IBI/IRPF) basándose en un algoritmo, podrías rozar el Anexo III por "acceso a servicios esenciales o ayudas públicas". Solución: presenta la elegibilidad como una orientación informativa, no como decisión vinculante. Más sobre IA en el sector solar: solución NovaChat IA para paneles solares.
Inmobiliarias y agencias de alquiler
Aquí el punto sensible no es la captación de leads ni la agenda de visitas (eso es riesgo limitado limpio), sino la posible decisión automatizada sobre acceso a vivienda. Si tu sistema, basado en datos del candidato, decide automáticamente que no le envías documentación de un piso o que rechazas su solicitud de alquiler, esto puede caer en el Anexo III por "acceso a vivienda" y discriminación. Mantén siempre la decisión de selección de inquilino en manos del agente humano. Tu IA puede ordenar, cualificar, sugerir — no decidir. Para más sobre inmobiliarias e IA: solución NovaChat IA para inmobiliarias.
¿Tu sector concreto encaja en alto riesgo o limitado?
Lo evaluamos contigo. 30 minutos por WhatsApp, sin venderte nada. Si estás en riesgo limitado, te decimos qué ajustar. Si caes en alto riesgo, te lo decimos también — y te orientamos sobre el camino correcto.
Hablamos por WhatsApp¿Qué pasa si no cumples? Multas, autoridades y procedimiento
El régimen sancionador del AI Act está en los Artículos 99 a 101 del Reglamento. Es uno de los marcos sancionadores más severos del derecho de la UE, comparable o superior al del RGPD. Se estructura en tres tramos según gravedad de la infracción.
Los tres tramos de sanción
| Tramo | Infracción | Sanción máxima |
|---|---|---|
| Tier 1 | Uso de sistemas de IA prohibidos (Art. 5: manipulación, scoring social, biometría masiva sin justificación) | 35.000.000 € o 7% del volumen de negocio anual mundial, el que sea mayor |
| Tier 2 | Incumplimiento de obligaciones para sistemas de alto riesgo o de proveedores GPAI con riesgo sistémico | 15.000.000 € o 3% del volumen de negocio anual mundial, el que sea mayor |
| Tier 3 | Suministro de información incorrecta, incompleta o engañosa a autoridades competentes o a organismos notificados | 7.500.000 € o 1% del volumen de negocio anual mundial, el que sea mayor |
¿Y las obligaciones de transparencia del Artículo 50, las que te tocan a ti como PYME con chatbot? El Reglamento no las clasifica explícitamente en un tramo único, pero la práctica de las autoridades nacionales y el espíritu del texto las sitúan en una franja sancionadora intermedia-baja, escalable según gravedad. AESIA puede aplicar sanciones administrativas por debajo de los topes anteriores, con el principio de proporcionalidad como guía.
El "factor PYME": proporcionalidad
El Artículo 99.6 del Reglamento incluye una cláusula explícita: para PYMEs, startups y microempresas, las multas deben ser "hasta los porcentajes o las cuantías mencionadas, lo que sea menor". Es decir, para una PYME se aplica el tope en porcentaje, no la cifra absoluta. Esto significa que una PYME con 800.000 € de facturación enfrentaría un techo de 56.000 € en tier 1, 24.000 € en tier 2 y 8.000 € en tier 3.
No son cifras simbólicas. Son sanciones reales, equivalentes a varias mensualidades de costes laborales o a destrozar el resultado anual de una PYME que opera con márgenes ajustados.
¿Quién aplica las multas en España?
España ha sido pionera en la designación de autoridad competente. La Agencia Española de Supervisión de Inteligencia Artificial (AESIA), creada por Real Decreto 729/2023 de 22 de agosto, con sede en A Coruña, es la autoridad nacional designada para la aplicación del AI Act. Empezó a operar en 2023 y desde 2025 ya cuenta con un cuadro de inspectores activos. AESIA coopera con:
- AEPD (Agencia Española de Protección de Datos): para infracciones que involucren datos personales. Un chatbot puede recibir sanción coordinada AEPD + AESIA por una misma actuación.
- CNMC (Comisión Nacional de los Mercados y la Competencia): cuando hay implicaciones de competencia o telecomunicaciones.
- Banco de España: para sistemas financieros (chatbots de scoring crediticio).
- Sectoriales: SEPBLAC, CNMV, Ministerio de Sanidad según sector.
El procedimiento sancionador estándar es: denuncia o inspección de oficio → expediente informativo → propuesta de resolución → audiencia → resolución sancionadora → posibles recursos. Una PYME tiene derechos procesales claros: ser oída, presentar alegaciones, proponer pruebas, recurrir.
Las 5 acciones concretas que tienes que hacer ANTES del 2 de agosto de 2026
Basta de teoría. Estas son las cinco acciones operativas, en orden de prioridad, que cualquier PYME con chatbot o voicebot tiene que ejecutar entre hoy y el 2 de agosto de 2026. Si haces estas cinco, llegas con cumplimiento real al día de aplicación del Reglamento.
Acción 1: Añade el disclaimer "soy IA" en tu chatbot/voicebot (1 día)
Es la acción más barata, más rápida y más impactante. Edita el script inicial de tu chatbot, voicebot o asistente WhatsApp para incluir la identificación como IA. Ejemplos correctos:
- Voicebot teléfono: "Hola, ha contactado con [Empresa]. Soy el asistente virtual automatizado. ¿En qué puedo ayudarte hoy?"
- Chatbot web: Icono visible + mensaje inicial: "Soy Nova, el asistente IA de [Empresa]. Estoy aquí para ayudarte 24/7. Si en algún momento necesitas hablar con una persona, dímelo."
- WhatsApp: "Hola, soy el asistente automatizado de [Empresa]. Te respondo al instante con la información que necesites."
Versión en cada idioma activo. No es opcional para multilingües.
Acción 2: Documenta técnicamente tu sistema (3-5 días)
Prepara un dossier interno de 6-15 páginas con:
- Identificación del sistema (nombre, finalidad, fecha de despliegue)
- Proveedor y modelo subyacente (OpenAI GPT-4o, Anthropic Claude 3.7, etc.)
- Versión y fecha de actualización
- Tareas que realiza y tareas que NO realiza
- Datos que trata y dónde se almacenan (servidor, ubicación geográfica)
- Política de transparencia: qué mensaje muestra, cómo se identifica
- Mecanismo de escalado a humano
- Canal de queja del usuario
- DPA firmado con el proveedor del modelo
- Evaluación interna de nivel de riesgo (limitado vs alto)
Esta documentación no se entrega a nadie por defecto: se mantiene disponible para la autoridad si la pide. Si trabajas con un proveedor serio, este dossier te lo debe entregar el proveedor firmado.
Acción 3: Asegura supervisión humana en decisiones críticas (1-2 semanas)
Revisa el flujo conversacional de tu chatbot y marca todos los puntos donde el bot toma una decisión que afecta al cliente. Para cada uno:
- ¿La decisión se puede revertir manualmente?
- ¿Hay log de la decisión que se pueda auditar?
- ¿El cliente tiene una vía clara de pedir revisión humana?
- ¿Existe un humano monitorizando las interacciones críticas?
Acciones típicas que requieren supervisión humana: cancelaciones, reembolsos, denegaciones, modificaciones de contrato, escalado de quejas. Si tu bot puede ejecutar estas acciones autónomamente, añade una capa de validación humana.
Acción 4: Establece canal de queja del usuario (3 días)
El usuario debe poder reportar problemas relacionados con el sistema de IA. Esto se materializa con:
- Email visible en la web tipo "reclamaciones@" o "soporte-ia@"
- Mención explícita en política de privacidad y términos de uso
- Mecanismo de respuesta documentado (plazo máximo de respuesta)
- Log interno de quejas recibidas
Acción 5: Auditoría de nivel de riesgo (1 semana)
El paso más importante: confirma con análisis específico de tu caso si tu chatbot es realmente riesgo limitado o si entras en algún supuesto de alto riesgo del Anexo III. Esta auditoría debe documentar:
- ¿Toma decisiones automáticas que afecten a derechos?
- ¿Está en algún sector listado (crédito, empleo, educación, justicia, vivienda)?
- ¿Maneja datos biométricos, emocionales o de menores?
- ¿Se usa en infraestructura crítica?
Si todas las respuestas son no, eres riesgo limitado y con las 4 acciones anteriores estás cumpliendo. Si alguna respuesta es sí, necesitas asesoramiento específico: el coste de cumplimiento de alto riesgo es muy superior y exige decisiones estratégicas (mantener el sistema con coste alto, o rediseñarlo para volverlo riesgo limitado).
Caso real: cómo lo estamos haciendo en NovaChat IA con nuestros clientes
Te cuento sin marketing cómo hemos planteado nosotros el cumplimiento desde octubre de 2024, cuando vi por primera vez el calendario completo del Reglamento UE 2024/1689. Lo cuento porque puede servirte de referencia operativa, no como venta — los cinco puntos siguientes podrías aplicarlos con cualquier proveedor que te tome en serio.
Los 5 ajustes que hicimos en NovaChat IA para AI Act
- Disclaimer obligatorio al inicio de cada llamada o conversación: el script de saludo está bloqueado en plantilla. El cliente no puede desactivarlo desde el panel de control. En cada uno de los 12 idiomas soportados, el voicebot dice "soy el asistente automatizado" o equivalente cultural antes de pedir cualquier información al usuario.
- Logs trazables de cada interacción: cada conversación queda con timestamp, modelo usado, idioma detectado, intención reconocida y decisión tomada. Los logs se almacenan en servidores Frankfurt/Madrid con cifrado AES-256. El cliente puede consultarlos desde su panel y descargarlos en formato auditable. Si AESIA pide un sample, lo entregamos en minutos.
- Botón "hablar con humano" en cada conversación: en chatbot web y WhatsApp, el botón es persistente. En voicebot telefónico, basta decir "necesito hablar con una persona" para el escalado inmediato a recepción o agente humano. No hay tres niveles de menú; está al alcance en un paso.
- Documentación técnica firmable: a cada cliente le entregamos un PDF de 11 páginas con la descripción técnica del sistema desplegado para su PYME concreta (modelo usado, finalidad, datos tratados, ubicación de servidores, evaluación de riesgo) firmado digitalmente por NovaChat IA. Esto es la base de su dossier de cumplimiento AI Act + RGPD.
- Canal de queja del usuario habilitado: cada despliegue incluye un email tipo "ia-soporte@[cliente].com" enlazado a un sistema de ticketing donde se registran y responden las quejas en plazo máximo de 72h. Auditable y trazable.
El coste de implementación de estos cinco puntos para una PYME nueva que arranca con nosotros es cero adicional: vienen de serie en cada despliegue. Si llevamos un cliente con voicebot en marcha desde antes, le actualizamos al estándar AI Act 2026 también sin coste. Es la única forma de hacerlo bien — el cumplimiento no es un upsell, es la condición mínima de un sistema bien hecho.
Checklist de 10 preguntas: ¿tu chatbot actual cumple?
Si quieres una autoevaluación rápida antes de meterte en una auditoría profunda, responde estas diez preguntas. Si alguna respuesta es "no" o "no lo sé", tienes un punto a corregir antes del 2 de agosto de 2026.
- ¿Tu chatbot/voicebot dice claramente al usuario que es un sistema IA al inicio de la interacción?
- ¿El aviso de "soy IA" está en todos los idiomas que tu sistema soporta?
- ¿Guardas registro auditable de las conversaciones (con cumplimiento RGPD)?
- ¿Documentaste por escrito qué LLM o modelo usa tu sistema?
- ¿Tienes firmado un contrato de Encargado del Tratamiento (DPA) con el proveedor del modelo (OpenAI, Anthropic, Google, etc.)?
- ¿Existe en cada conversación una vía clara y a un paso para escalar a un humano?
- ¿Hay un canal específico donde los usuarios pueden quejarse del sistema IA?
- ¿Has evaluado si tu sistema cae en alguno de los supuestos de alto riesgo del Anexo III?
- ¿Tu política de privacidad menciona el uso de IA y el tratamiento asociado?
- ¿Tienes plan para responder en plazo si AESIA o AEPD piden información sobre tu sistema?
Si has respondido "sí" a las diez preguntas, llegas al 2 de agosto de 2026 con una base sólida. Si has respondido "no" a tres o más, tu prioridad operativa de los próximos dos meses es cerrar esos puntos. Y si lo del nivel de riesgo (pregunta 8) no lo tienes claro, ese es el lugar por donde empezar.
Conexión: AI Act y otros frentes regulatorios
El AI Act no llega solo. Forma parte de un paquete más amplio de regulación digital de la UE que incluye DSA (Digital Services Act), DMA (Digital Markets Act), Data Act y revisión del RGPD. Para una PYME con chatbot o voicebot, los dos puntos de contacto más relevantes son:
- RGPD (Reglamento UE 2016/679): sigue plenamente vigente. El AI Act lo refuerza, no lo sustituye. Si tu chatbot trata datos personales (y casi siempre los trata), las obligaciones RGPD se aplican en paralelo: base de legitimación, información al interesado, derechos ARSULIPO, brechas de seguridad, DPO si toca.
- Reglamento de servicios digitales (DSA): relevante si tu chatbot opera en plataformas de intermediación o si tu web actúa como tal. Para PYME estándar, baja relevancia directa.
Y conectando con el otro gran cambio del año: la transición de SEO a GEO (Generative Engine Optimization), que también está reorganizando cómo las PYMEs se posicionan en ChatGPT, Perplexity, Gemini y los buscadores generativos. El AI Act también afecta indirectamente a esa parte: los proveedores GPAI ya tienen obligaciones específicas que van a redibujar el mercado de IA generativa en Europa. Más sobre cómo posicionarte en buscadores generativos sin saltarte el AI Act: GEO para PYMEs en España 2026.
Preguntas frecuentes
¿Mi chatbot es de alto riesgo o de riesgo limitado bajo el AI Act?
La mayoría de los chatbots y voicebots de PYMEs son sistemas de riesgo limitado y sólo tienen obligaciones de transparencia (informar al usuario que habla con IA, marcar contenido sintético). Pasan a alto riesgo si toman decisiones automatizadas que afecten a derechos: scoring crediticio, denegación de seguros, contratación de empleados, acceso a servicios esenciales, evaluación educativa o decisiones que afecten al acceso a vivienda. Un chatbot que simplemente cualifica leads, agenda visitas o responde preguntas es de riesgo limitado.
¿Quién aplica las multas del AI Act en España?
La autoridad competente designada por el Gobierno español es la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), con sede en A Coruña, operativa desde 2023. AESIA coordina la aplicación del AI Act con la Agencia Española de Protección de Datos (AEPD) cuando hay solapamiento con datos personales, y con la CNMC, Banco de España o sectoriales según el caso. Una infracción en un chatbot puede acabar con expediente conjunto AESIA + AEPD si afecta a datos.
¿Cuánto plazo tengo para corregir un incumplimiento del AI Act?
El Reglamento UE 2024/1689 no fija un plazo único de subsanación: depende del tipo de infracción y de la autoridad. En la práctica, AESIA puede otorgar plazos de 30 a 90 días para subsanación voluntaria antes de iniciar un expediente sancionador formal. Si la infracción es grave (sistema prohibido en uso, ausencia total de transparencia con riesgo a derechos), el plazo se reduce drásticamente y puede haber medida cautelar de cese inmediato.
AI Act vs RGPD: ¿cuál prevalece y qué pasa si chocan?
No prevalece uno sobre otro: se aplican en paralelo. El RGPD regula datos personales; el AI Act regula sistemas de IA. Un chatbot puede infringir ambos a la vez (por ejemplo: no informa que es IA y además trata datos sin base legal). En la práctica, AESIA y AEPD cooperan y pueden iniciar expedientes coordinados. La multa por infracción del AI Act es independiente de la del RGPD: puedes ser sancionado dos veces por la misma situación si afecta a ambos reglamentos.
¿Si uso GPT-4 de OpenAI o Claude de Anthropic, cumplo el AI Act por defecto?
No. Los proveedores de modelos GPAI (GPT-4, Claude, Gemini) tienen sus propias obligaciones como proveedores, pero tú, como deployer/usuario del sistema, mantienes obligaciones independientes: informar al usuario final que está hablando con IA, marcar contenido sintético si lo generas, mantener supervisión humana en decisiones críticas, documentar el uso. OpenAI o Anthropic no responden por el uso que tú haces de su API en tu chatbot. La responsabilidad de transparencia hacia el cliente final es tuya.
¿Necesito una certificación AESIA o AEPD para mi chatbot?
Para sistemas de riesgo limitado (la mayoría de chatbots y voicebots de PYME) NO se exige certificación previa: basta con cumplir obligaciones de transparencia y poder demostrarlo documentalmente. Para sistemas de alto riesgo (los listados en el Anexo III del Reglamento) sí se exige evaluación de conformidad, marcado CE y registro en la base de datos de la UE. Si tu chatbot solo responde preguntas o agenda citas, no necesitas certificación.
¿Y los voicebots multilingües que hablan con clientes extranjeros?
Las obligaciones de transparencia se aplican en el idioma del usuario. Si tu voicebot atiende en español, inglés, francés y alemán, el aviso "soy un asistente automatizado" debe escucharse en cada uno de esos idiomas, no solo en español. Esto es práctica recomendada y, además, alineado con el espíritu del Reglamento: el usuario tiene que entender que habla con IA. Voicebots configurados con disclaimer monolingüe son un incumplimiento prevenible.
¿Es retroactivo el AI Act para chatbots y voicebots ya en producción?
Sí, en términos prácticos. El AI Act no distingue entre sistemas nuevos y existentes para las obligaciones de transparencia. A partir del 2 de agosto de 2026, cualquier chatbot o voicebot que esté en producción y atienda a usuarios europeos debe cumplir. No vale el argumento "pero mi chatbot lleva 3 años funcionando": la fecha de corte aplica al estado de uso, no al de implementación inicial. Hay margen de transición pero no exención retroactiva.
¿Cuál es la sanción mínima del AI Act?
El Reglamento UE 2024/1689 establece tres tramos máximos (35M€/7%, 15M€/3%, 7,5M€/1%) pero no fija un mínimo legal: la cuantía concreta la decide la autoridad sancionadora según gravedad, intencionalidad, reincidencia y volumen de la empresa. Para PYMEs y startups, el Reglamento exige que los tramos se apliquen "proporcionalmente", lo que en la práctica significa multas administrativas que pueden empezar en torno a 1.000-5.000 € por infracciones menores de transparencia, escalando hasta los topes para infracciones graves.
¿Puedo recurrir una sanción del AI Act?
Sí. Las resoluciones sancionadoras de AESIA son recurribles primero en alzada ante el Ministerio competente (vía administrativa) y, posteriormente, ante la jurisdicción contencioso-administrativa española. Si el caso involucra interpretación del Derecho de la UE, los tribunales españoles pueden elevar cuestión prejudicial al Tribunal de Justicia de la UE. Plazos estándar: 1 mes para recurso de alzada, 2 meses para contencioso. Recomendable: contar con asesoría especializada en derecho digital desde el inicio del expediente.
Conclusión: lo que separa a la PYME preparada de la que va a improvisar
El 2 de agosto de 2026 va a llegar puntual. No habrá prórroga, ni indulto generalizado, ni interpretación "flexible". El Reglamento UE 2024/1689 está aprobado, publicado, vigente. Las autoridades nacionales (AESIA en España) llevan ya 18 meses preparándose para inspecciones. Y las primeras sanciones empezarán a verse, previsiblemente, en otoño de 2026.
La diferencia entre la PYME que va a estar preparada y la que va a improvisar no es tener un equipo legal interno ni un presupuesto enorme. Es haber dedicado las cinco acciones que te he descrito arriba con la antelación suficiente: ahora, en mayo de 2026, queda margen razonable. En julio, va a ser una carrera. En agosto, ya es tarde para preparación; toca defenderse si llega expediente.
Esto no es alarmismo regulatorio. Son las obligaciones reales de un Reglamento europeo aprobado por el Parlamento y publicado en el DOUE. Y la buena noticia es que para la inmensa mayoría de PYMEs (las que tienen chatbots y voicebots de riesgo limitado), cumplir es asequible: cinco acciones operativas, un par de semanas de trabajo, documentación que cabe en una carpeta. No hace falta ni un equipo grande ni una inversión millonaria. Hace falta hacerlo a tiempo.
Si quieres saber si tu chatbot, voicebot o asistente IA está donde debería estar para el 2 de agosto de 2026, te ofrecemos auditoría gratuita de 30 minutos. Te decimos exactamente qué te falta, sin venderte nada. Y si ya eres cliente de NovaChat IA con voicebot en marcha, te actualizamos el sistema al estándar AI Act 2026 sin coste adicional. Esa es la condición mínima de hacerlo bien.
Auditoría gratuita de tu chatbot para el AI Act 2026
30 minutos por WhatsApp o videollamada. Te revisamos tu chatbot, voicebot o asistente IA actual y te decimos exactamente qué necesitas para llegar al 2 de agosto de 2026 cumpliendo. Sin venderte nada: si tu proveedor actual te lo va a actualizar, nos alegramos.
Llevamos desde octubre de 2024 ajustando nuestras implementaciones al estándar AI Act. Servidores Frankfurt/Madrid, DPA firmado, voz nativa en 12 idiomas. PYMEs en hoteles, abogados, hipotecas, solar e inmobiliario en producción ahora mismo.
Pedir auditoría por WhatsApp Conocer NovaChat IA info@novachatia.comMartin Adrian Reche
Fundador de NovaChat IA
Martin es fundador de NovaChat IA, empresa especializada en asistentes de voz e IA conversacional con cumplimiento AI Act y RGPD para PYMEs españolas. Trabaja con sectores donde la regulación es crítica: hoteles, despachos de abogados, brokers hipotecarios, instaladores solares e inmobiliarias.
Lleva analizando el Reglamento UE 2024/1689 desde su publicación en el DOUE en julio de 2024. La filosofía de NovaChat IA: cumplimiento desde el día uno como condición mínima, no como upsell. Servidores en Frankfurt y Madrid, DPA firmado con cada cliente, documentación técnica entregada en cada despliegue, voicebots con disclaimer obligatorio en 12 idiomas.
Contacto: info@novachatia.com | WhatsApp: +34 851 000 632
Última actualización: 15 de mayo de 2026
Tiempo de lectura: 24 minutos
Empresa: NovaChat IA - España
Aviso legal: este artículo es divulgativo, no constituye asesoramiento jurídico individualizado. Para casos concretos consulta con asesor en derecho digital.
Artículos y soluciones relacionadas
-
→ GEO (Generative Engine Optimization) para PYMEs en España 2026
Cómo posicionarte en ChatGPT, Perplexity y Gemini cumpliendo el marco regulatorio europeo
-
→ Solución NovaChat IA para hoteles
Voicebot 24/7 multilingüe con cumplimiento AI Act y RGPD desde el día uno
-
→ Solución NovaChat IA para despachos de abogados
Captación legal con IA conversacional dentro del perímetro de riesgo limitado del AI Act
-
→ Solución NovaChat IA para brokers hipotecarios
Voicebot de captación hipotecaria evitando recalificación a alto riesgo del Anexo III
-
→ Solución NovaChat IA para instaladores de paneles solares
Pre-cualificación de leads solares con cumplimiento del AI Act
-
→ Solución NovaChat IA para inmobiliarias
Cualificación de leads inmobiliarios sin caer en supuestos de alto riesgo del Anexo III
-
→ Conoce NovaChat IA
IA conversacional para PYMEs españolas con servidores UE y cumplimiento AI Act + RGPD