Hay una idea tranquilizadora que circula en muchas PYMEs: "el AI Act aún no me aplica del todo, así que tengo tiempo". La primera parte es discutible; la segunda es directamente falsa. Porque la supervisión del uso de la inteligencia artificial en España no empieza con el AI Act. Empezó hace años, con una norma que está plenamente vigente y una autoridad que la aplica con constancia: el RGPD y la Agencia Española de Protección de Datos.
La IA ya está dentro del RGPD
Un sistema de IA que procesa datos personales es, a ojos del RGPD, un tratamiento como cualquier otro — con el agravante de que suele combinar los factores que la norma considera de mayor riesgo: tecnología nueva, evaluación sistemática de personas, decisiones con efectos significativos. No hace falta esperar a ninguna fecha del AI Act para que ese tratamiento sea supervisable. Lo es desde el primer día de uso.
Y la práctica de la AEPD lo confirma. Sin entrar en casos concretos, los patrones que más expedientes generan cuando hay IA de por medio son recurrentes y, vistos con perspectiva, evitables:
La evaluación de impacto que no se hizo. El tratamiento exigía una evaluación de impacto en protección de datos (Art.35) —por usar datos sensibles, por evaluar personas de forma sistemática, por la escala— y la organización desplegó el sistema sin hacerla. Es el fallo más frecuente y el más fácil de reprochar: no es un error técnico, es una omisión de diligencia.
Decisiones automatizadas sin salvaguardas. Sistemas que deciden o perfilan personas sin las garantías del Art.22: sin intervención humana significativa, sin información al afectado, sin vía para impugnar la decisión. Un scoring que descarta candidatos o clientes de forma opaca es un candidato natural a expediente, con AI Act o sin él.
Biometría sin evaluación previa. El tratamiento de datos biométricos —control de presencia, verificación de identidad— sin la evaluación de impacto y el juicio de proporcionalidad que su naturaleza de categoría especial exige.
Brechas sobre datos tratados por sistemas de IA. Cuando el dato se mueve hacia proveedores y servicios externos sin las medidas de seguridad y los contratos de encargo en orden, una brecha deja de ser solo un incidente técnico y pasa a ser un incumplimiento documentable.
Lo que el AI Act cambia (y lo que no)
El AI Act no inaugura el enforcement de la IA en España: lo amplía. A partir del 2 de agosto de 2026, al régimen del RGPD se le suma la maquinaria de vigilancia del mercado del Reglamento de IA, con sus propias autoridades y su propio régimen sancionador. Es decir: la empresa que hoy usa IA con datos personales ya responde ante la AEPD, y pronto responderá además ante las autoridades del AI Act.
Leído así, el mensaje comercial del miedo ("prepárate para las multas del AI Act") se queda corto y llega tarde a la vez. La exposición real de una PYME no es futura: es presente, y tiene nombre de artículos del RGPD que llevan años aplicándose.
El denominador común: la evidencia
Si se miran los patrones anteriores, todos comparten una raíz. No se sanciona a la empresa por usar IA; se le reprocha no poder demostrar que la usó con criterio. La evaluación que no existe, la garantía que no se implementó, el contrato de encargo que no se firmó: son, todos, fallos de diligencia documentada.
Por eso la preparación sensata no consiste en esperar al AI Act ni en acumular carpetas para cuando llegue. Consiste en hacer ahora lo que el RGPD ya exige: saber qué sistemas de IA usa la organización, evaluar los que lo requieren, poner salvaguardas donde hay decisiones sobre personas y conservar la evidencia de todo ello. Quien tenga eso en orden llegará al AI Act con la mayor parte del trabajo hecha; quien no, ya está expuesto hoy.
Un punto de partida honesto es medir dónde estás: nuestro diagnóstico gratuito de situación da esa primera foto en unos minutos. La foto no es la evidencia — pero dice qué falta.
Este artículo tiene carácter informativo y no constituye asesoramiento jurídico.