La Ley de IA de la UE para empresas emergentes: ayudas, espacios controlados de pruebas y dónde siguen mordiendo las reglas
Disposiciones de la Ley de IA de la UE para empresas emergentes: espacios controlados de pruebas (arts. 57-59), tasas reducidas, límite de multas del art. 99.6, documentación simplificada. Qué sigue aplicándose. Plazo: 2 dic 2027.
La Ley de IA de la UE concede a las empresas emergentes ventajas estructurales genuinas: reducciones de tasas, límites de multas, acceso a espacios controlados de pruebas y documentación simplificada. Ninguna de ellas anula los requisitos sustantivos. Comprender qué cubren realmente las ayudas, y qué no, es donde empieza el cumplimiento de una empresa emergente.
Este artículo se centra en las disposiciones específicas para empresas emergentes del Reglamento (UE) 2024/1689: los instrumentos de apoyo a las pymes incorporados en la propia Ley. Si buscas una guía paso a paso para registrar tu sistema y redactar el expediente técnico del Anexo IV, ese flujo de trabajo se aborda en la guía de cumplimiento de la Ley de IA de la UE para empresas emergentes SaaS: empieza por ahí si eres fundador de software que construye un producto de IA.
La arquitectura de apoyo a las pymes de la Ley: cuatro instrumentos reales
La Ley de IA de la UE es inusual entre los reglamentos de la UE en que codifica explícitamente disposiciones favorables a las empresas emergentes en el texto, en lugar de dejar la proporcionalidad por entero a la discreción de los Estados miembros. Merece la pena comprender con precisión cuatro instrumentos.
1. Espacios controlados de pruebas para la IA (artículos 57 a 59): pruebas supervisadas antes de comprometerte
El artículo 57 exige que cada Estado miembro de la UE establezca al menos un espacio controlado de pruebas nacional para la IA antes del 2 de agosto de 2026. Algunos Estados miembros —España, los Países Bajos, Noruega— ya operan espacios controlados de pruebas; el plazo obliga a seguir a todos los demás Estados miembros restantes.
Lo que realmente te da un espacio controlado de pruebas: la capacidad de desarrollar y probar un sistema de IA bajo supervisión normativa, fuera del marco completo de cumplimiento que de otro modo se aplicaría a un despliegue en el mercado real. La autoridad competente supervisa las pruebas; tú operas con arreglo a un plan estructurado acordado de antemano.
El artículo 59 añade especificidades operativas importantes. Cuando el espacio controlado de pruebas implica el tratamiento de datos personales, debe participar una autoridad competente de la autoridad de control de protección de datos. Los participantes salen del espacio controlado de pruebas con un informe por escrito —un documento que querrás conservar, porque registra la orientación de la autoridad de control y el historial de pruebas de tu sistema. Eso es capital regulatorio genuino para una empresa en fase semilla que aún no puede permitirse un expediente técnico completo del Anexo IV.
Acceso prioritario para empresas emergentes y pymes. El artículo 58, apartado 1, exige explícitamente que las pymes y las empresas emergentes tengan acceso prioritario a los espacios controlados de pruebas nacionales, y que las tasas de participación sean proporcionadas a su tamaño —en la práctica, a menudo gratuitas para las pequeñas empresas, aunque la forma exacta varía según el Estado miembro. Un equipo de 12 personas que se postula junto a una gran corporación no compite en igualdad de condiciones: la Ley dice que tú vas primero.
Pruebas limitadas en condiciones reales (artículo 60). Cuando un plan de espacio controlado de pruebas incluye pruebas limitadas en condiciones reales —desplegar un sistema entre usuarios reales en condiciones supervisadas—, el artículo 60 fija las salvaguardas: las pruebas deben tener una duración determinada, implicar únicamente a usuarios que hayan dado su consentimiento informado e incluir mecanismos de seguimiento y de parada. Para una empresa emergente que quiera probar, por ejemplo, una herramienta de asistencia a la contratación con un puñado de empresas socias antes de la introducción formal en el mercado, esta es la vía más limpia que un lanzamiento suave sin supervisión.
Un punto práctico: postularse a un espacio controlado de pruebas lleva tiempo. Si tu autoridad nacional de destino aún no ha establecido uno (el plazo de agosto de 2026 está cerca), consulta la red de espacios controlados de pruebas EUAIA y los mecanismos de cooperación del artículo 58 —el acceso transfronterizo a espacios controlados de pruebas está permitido cuando no existe una opción nacional.
2. Tasas de evaluación de la conformidad proporcionadas (artículo 62)
El artículo 62, apartado 4, exige que las tasas cobradas por los organismos notificados por las evaluaciones de la conformidad de los sistemas de alto riesgo sean proporcionadas al tamaño de la empresa, con una reducción explícita para las pymes. La Comisión también está facultada para fijar escalas de tasas estándar a fin de evitar que el mercado de los organismos notificados ignore esto.
En la práctica, esto importa sobre todo para el Anexo III, punto 1 (biometría), que requiere la vía del organismo notificado del Anexo VII en lugar de la autoevaluación interna. Para todas las demás categorías del Anexo III —empleo, educación, solvencia y el resto—, el valor por defecto es la autoevaluación interna del Anexo VI, que solo cuesta tiempo interno. La disposición de reducción de tasas se aplica a la minoría de empresas emergentes que necesitan un organismo notificado; la mayoría puede autocertificarse.
3. El límite de multas para pymes/empresas emergentes (artículo 99, apartado 6)
Esta es la ayuda más concreta en términos financieros. El artículo 99 establece tres niveles de sanciones —35 millones de euros o el 7 % del volumen de negocios anual mundial (prohibiciones del artículo 5); 15 millones de euros o el 3 % (la mayoría de las demás obligaciones, incluidos los requisitos de alto riesgo); 7,5 millones de euros o el 1 % (información incorrecta a las autoridades)—, cada uno expresado como «si esta última cifra es mayor».
El artículo 99, apartado 6, invierte esa fórmula para las pymes y las empresas emergentes. Para las empresas que cumplen los requisitos, la multa es la cifra menor de las dos, el porcentaje o la suma fija, no la mayor.
Ejemplo práctico: una empresa emergente con 2 millones de euros de ingresos anuales mundiales incumple un requisito de alto riesgo —pongamos que introduce un sistema en el mercado sin completar la evaluación de la conformidad con arreglo al artículo 43. El techo de multa estándar es de 15 millones de euros o el 3 % de 2 millones de euros (= 60 000 EUR), el que sea mayor, es decir, 15 millones de euros. Con arreglo al artículo 99, apartado 6, el techo se invierte hacia la cifra menor: 60 000 EUR. Eso no es inmunidad frente a una multa, pero es una exposición estructuralmente distinta.
Tres puntos que tener en cuenta. Primero, el artículo 99, apartado 6, se aplica al techo, no a si se impone o no una multa. Los reguladores conservan su discrecionalidad. Segundo, la protección se aplica mientras sigas siendo una pyme: escala por encima del umbral y la fórmula estándar se restablece. Tercero, el nivel de prohibición del artículo 5 (35 M€/7 %) sigue siendo el techo incluso para las pymes; la fórmula de inversión se aplica también ahí, pero si tu volumen de negocios es, por ejemplo, de 10 millones de euros, el 7 % = 700 000 EUR pasa a ser la cifra menor.
4. Documentación técnica simplificada para las pymes (artículo 11, apartado 3)
Los proveedores de sistemas de alto riesgo deben mantener documentación técnica con arreglo al artículo 11, con el contenido especificado en el Anexo IV. El Anexo IV enumera nueve áreas: descripción del sistema; finalidad prevista y versiones; elementos y proceso de desarrollo; seguimiento, mantenimiento y funcionamiento; gestión de riesgos; datos y gobernanza de datos; métricas de exactitud, robustez y ciberseguridad; supervisión humana; y la evaluación de la conformidad.
El artículo 11, apartado 3, dispone que la Comisión podrá adoptar actos de ejecución que especifiquen un formulario simplificado del Anexo IV para las pymes. A mediados de 2026, el acto delegado no se ha publicado, pero la disposición es vinculante para la Comisión: debe prepararse. Permanece atento a ello; se espera que reduzca sustancialmente la carga de documentación para las empresas por debajo del umbral de pyme, sin eliminar el requisito sustantivo de tener un expediente técnico.
Hasta que el formulario simplificado esté disponible, el Anexo IV completo sigue siendo el estándar. La implicación práctica: estructura ahora tu expediente técnico en un formato modular, de modo que, si se publica un formulario simplificado antes de tu plazo, puedas reorganizarlo en lugar de empezar de cero.
Alfabetización en materia de IA: la obligación que ya está vigente (artículo 4)
El artículo 4 —alfabetización en materia de IA— se aplica a todas las organizaciones desde el 2 de febrero de 2025. No es una obligación de alto riesgo ni un plazo futuro. Toda empresa que utilice o despliegue IA debe adoptar medidas para garantizar que su personal tenga conocimientos suficientes para utilizar los sistemas de IA de forma competente y responsable.
Para una empresa emergente de 10 personas, «medidas suficientes» es proporcionado al tamaño y al riesgo. No se espera que ejecutes un programa de certificación. Lo que sí se espera que hagas es garantizar que las personas que operan o supervisan las herramientas de IA comprendan qué hacen esas herramientas, dónde pueden fallar y cuándo escalar. Para la mayoría de las empresas emergentes, esto significa: conocimiento documentado de los sistemas en uso, un breve registro de quién ha sido informado y sobre qué, y cierta estructura en torno a la supervisión de cualquier sistema que interactúe con clientes o tome decisiones trascendentes.
La Ley no exige un estándar de certificación. Lo que sí hace es crear una huella de auditoría: si se produce un incidente, un regulador preguntará si el personal sabía qué estaba ejecutando. Una nota de incorporación de 15 minutos es mejor que nada; un breve documento de política interna es mejor que eso.
Lo que las ayudas no hacen: la clasificación se aplica íntegramente
Los cuatro instrumentos anteriores son ajustes de procedimiento y financieros. No alteran cómo se clasifica tu sistema ni qué obligaciones sustantivas se vinculan a esa clasificación. Los cuatro niveles de riesgo se aplican a las empresas emergentes exactamente igual que a las grandes empresas.
La mayoría de las empresas emergentes son responsables del despliegue o proveedores de riesgo limitado. Si tu empresa utiliza una herramienta de IA de terceros —un chatbot de atención al cliente, una capa de análisis, una herramienta de cribado de candidatos de un proveedor—, eres un responsable del despliegue con arreglo al artículo 26. Las obligaciones del responsable del despliegue son más ligeras que las del proveedor: seguir las instrucciones del proveedor, mantener la supervisión humana, registrar el uso del sistema, vigilar el rendimiento y comunicar los incidentes graves al proveedor. La carga de documentación es real pero manejable para un equipo pequeño.
Si construyes un producto de IA pero no se sitúa en el Anexo III, eres probablemente un proveedor de riesgo limitado con arreglo al artículo 50. Si tu producto incluye una interfaz conversacional de cara al cliente, generación de contenido sintético o tratamiento de emociones/biometría, debes hacer divulgaciones de transparencia (artículo 50) desde el 2 de agosto de 2026. Sin expediente técnico, sin evaluación de la conformidad: solo las obligaciones de divulgación.
El alto riesgo solo se aplica si el Anexo III lo dice. Las ocho categorías del Anexo III son: biometría, componentes de seguridad de infraestructuras críticas, educación y formación profesional, empleo y gestión de los trabajadores, acceso a servicios privados y públicos esenciales (incluida la calificación de la solvencia y la evaluación de riesgos de los seguros de salud/vida), garantía del cumplimiento del Derecho, migración y control fronterizo, y administración de justicia. Si tu sistema no está en una de esas categorías, no es de alto riesgo. Una herramienta de programación de agendas no es de alto riesgo. Un modelo de fuga de clientes no es de alto riesgo. Una herramienta de sugerencia de código no es de alto riesgo. Confirma la clasificación recorriendo el artículo 6 y el Anexo III de forma sistemática.
El filtro del artículo 6, apartado 3. Incluso si tu sistema entra en una categoría del Anexo III, no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales —por ejemplo, si desempeña una función procedimental limitada, asiste a una actividad humana que ya se ha completado, o detecta patrones sin sustituir ni influir en el juicio humano. Todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo con independencia del filtro. Si reclamas la exención del artículo 6, apartado 3, documenta la evaluación y registra el sistema en la base de datos de la UE con arreglo al artículo 49.
El plazo para los sistemas autónomos de alto riesgo es el 2 de diciembre de 2027. En virtud del Ómnibus Digital acordado en mayo de 2026, la fecha original de agosto de 2026 se ha aplazado. La IA de alto riesgo integrada en productos regulados con arreglo al Anexo I (productos sanitarios, máquinas) afronta un plazo posterior del 2 de agosto de 2028. Eso es un margen de respiro real, pero reunir el expediente técnico del Anexo IV, realizar la evaluación de la conformidad con arreglo al artículo 43 y preparar la declaración de conformidad del artículo 47 lleva meses. Empezar a finales de 2027 no es un plan viable.
Qué hace primero una empresa emergente
Para la mayoría de las empresas en fase inicial, el orden de prioridad es:
Paso 1: construye un inventario de IA. Enumera todos los sistemas de IA que construyes o utilizas, internamente y en tu producto. Asigna un rol a cada uno —proveedor o responsable del despliegue— utilizando las definiciones del artículo 3 y las reglas de cambio de rol del artículo 25 si has modificado sustancialmente o renombrado un sistema de terceros.
Paso 2: clasifica cada sistema. Pasa cada uno por la lista de prohibiciones del artículo 5 (¿está este sistema haciendo algo que la Ley prohíbe de plano?), luego por la prueba de alto riesgo del artículo 6 / Anexo III y, después, por la comprobación de transparencia de riesgo limitado del artículo 50. La mayoría de los sistemas se situarán en riesgo mínimo o limitado. Documenta el razonamiento.
Paso 3: comprueba la alfabetización del artículo 4. Confirma que el personal que utiliza herramientas de IA ha sido informado. Regístralo brevemente.
Paso 4: postúlate a un espacio controlado de pruebas si estás desarrollando un sistema de alto riesgo. No esperes a que el plazo fuerce la cuestión. La participación en un espacio controlado de pruebas genera orientación normativa difícil de obtener de cualquier otro modo, y el acceso prioritario para las empresas emergentes significa que la cola juega a tu favor.
Paso 5: para cualquier sistema de alto riesgo, empieza ahora el expediente técnico del artículo 11 / Anexo IV. Una documentación modular —descripción del sistema, finalidad prevista, registros de gobernanza de datos, registro de gestión de riesgos— es mucho más fácil de mantener de forma incremental que de reconstruir más tarde.
Cómo ayuda Confir
Confir es una herramienta de autoservicio de cumplimiento de la Ley de IA de la UE para empresas que no tienen equipos jurídicos dedicados ni departamentos de cumplimiento. Su motor de clasificación es basado en reglas y determinista: las mismas respuestas de admisión producen la misma conclusión, y la regla que se activó es legible por humanos.
Para las empresas emergentes: Confir te guía por la clasificación del artículo 6 / Anexo III, asigna tu rol (proveedor, responsable del despliegue, o ambos con arreglo al artículo 25) y genera el paquete de documentación técnica del artículo 11 / Anexo IV y la declaración de conformidad del artículo 47. Para los responsables del despliegue, ejecuta la evaluación estructurada del artículo 26. Sin consultores, sin ciclo de contratación, sin una implementación de seis meses.
Si tu sistema es de riesgo mínimo o limitado, el propio resultado de la clasificación —documentado en una pista de auditoría— es el artefacto principal que necesitas. Si te diriges hacia una solicitud de espacio controlado de pruebas, el expediente técnico que genera Confir te da la base documental para la solicitud.
Preguntas frecuentes
¿Se aplica la Ley de IA de la UE a mi empresa emergente si no estamos radicados en la UE?
Sí. El artículo 2 extiende la Ley a cualquier sistema de IA introducido en el mercado de la UE o puesto en servicio en la UE, con independencia de dónde esté establecido el proveedor o el responsable del despliegue. Si prestas servicio a usuarios o clientes de la UE, entras en el ámbito. El alcance extraterritorial refleja la lógica de acceso al mercado del RGPD.
¿Qué es el límite de multas del artículo 99, apartado 6, y mi empresa emergente cumple los requisitos?
El artículo 99, apartado 6, significa que, para las pymes y las empresas emergentes, las multas se limitan a la cifra menor de las dos, el porcentaje o la suma fija —lo contrario de la fórmula estándar. Por ejemplo, una empresa emergente con 3 millones de euros de volumen de negocios que afronta un incumplimiento de alto riesgo tiene un techo de 90 000 EUR (el 3 % de 3 M€) en lugar de 15 millones de euros (la suma fija). La definición de pyme sigue el estándar de la UE: menos de 250 empleados y un volumen de negocios inferior a 50 millones de euros o un balance total inferior a 43 millones de euros (con arreglo a la Recomendación 2003/361/CE de la Comisión). Una vez superados esos umbrales, se aplica la fórmula estándar.
¿Cuándo debe tener cada Estado miembro un espacio controlado de pruebas nacional para la IA en funcionamiento?
El artículo 57, apartado 1, fija el plazo en el 2 de agosto de 2026. Varios Estados miembros (España, los Países Bajos, Noruega) ya operan espacios controlados de pruebas. Las pymes y las empresas emergentes tienen acceso prioritario con arreglo al artículo 58, apartado 1, y las tasas deben ser proporcionadas al tamaño —en la práctica, a menudo gratuitas para las pequeñas empresas. El acceso transfronterizo está permitido cuando aún no existe un espacio controlado de pruebas nacional.
Mi empresa emergente utiliza una herramienta de IA de terceros para el cribado de RR. HH. ¿Somos el proveedor o el responsable del despliegue?
Lo más probable es que seas un responsable del despliegue con arreglo al artículo 26: estás utilizando un sistema bajo tu autoridad en un contexto profesional, no introduciéndolo en el mercado con tu nombre. Tus obligaciones: utilizarlo conforme a las instrucciones del proveedor, implementar la supervisión humana, conservar los registros durante al menos seis meses y comunicar los incidentes graves al proveedor. Si has modificado sustancialmente la herramienta o la has integrado bajo tu propia marca, el artículo 25 puede desplazarte a la condición de proveedor: realiza esa evaluación con cuidado.
¿Existe ya el formulario de documentación simplificada del artículo 11, apartado 3?
No, a mediados de 2026. El artículo 11, apartado 3, exige que la Comisión adopte actos de ejecución que especifiquen un formulario simplificado del Anexo IV para las pymes, pero esos actos aún no se han publicado. Hasta que lo hagan, se aplica la estructura completa del Anexo IV. Redacta tu expediente técnico en secciones modulares para poder adaptarte con rapidez cuando llegue el formulario simplificado.
¿Qué exige realmente la «alfabetización en materia de IA» de un equipo pequeño?
El artículo 4, en vigor desde el 2 de febrero de 2025, exige que todas las organizaciones adopten medidas proporcionadas para garantizar que el personal que utiliza sistemas de IA tenga conocimientos suficientes para operarlos de forma responsable. No se exige ninguna certificación. Para una pequeña empresa emergente, las sesiones informativas documentadas —a quién se informó de qué, y cuándo— más una nota interna sobre las herramientas de IA en uso y sus limitaciones conocidas satisfarán la prueba de proporcionalidad para la mayoría de los sistemas. Para un despliegue de alto riesgo, el estándar es más alto: el personal que supervisa el sistema debe comprender su finalidad prevista, sus modos de fallo y cuándo anularlo.
Guías relacionadas
- requisitos de cumplimiento para pymes
- niveles de riesgo de los Artículos 6 a 11
- comparación de herramientas de gestión de riesgos
- lista de comprobación de cumplimiento de los Artículos 6 a 29
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →