Guía de la Ley AI para pequeñas empresas

19 Feb, 2025

Todo lo que necesita saber sobre la Ley de la IA, para las pequeñas y medianas empresas (PYME) de la UE y de fuera de ella.

La Ley de AI se centra especialmente en las pequeñas y medianas empresas (PYME). Este grupo de partes interesadas se menciona 38 veces en la Ley, frente a 7 menciones a la "industria" y 11 a la "sociedad civil". Y lo que es más importante, la Ley de la UE sobre la IA incluye una serie de medidas diseñadas específicamente para apoyar y simplificar el cumplimiento de las normas de seguridad de los productos de la Ley por parte de las PYME.

Resumen rápido de las disposiciones adaptadas a las PYME

  • Cajones de arena reguladores: marcos para probar productos y servicios de IA fuera de las estructuras reguladoras normales, con exenciones de tasas administrativas. También podrán facilitarse pruebas en condiciones del mundo real. Las PYME tendrán acceso prioritario a los sandboxes de forma gratuita, y los procedimientos serán sencillos y claros.
  • Reducción de los costes y tasas de cumplimiento: las tasas de evaluación serán proporcionales al tamaño de las PYME y la Comisión evaluará periódicamente y trabajará para reducir los costes de cumplimiento.
  • Establecimiento de normas y gobernanza: la Comisión y los Estados miembros facilitarán la participación de las PYME en el establecimiento de normas y en el foro consultivo de la IA.
  • Documentación simplificada y formación: la Comisión desarrollará formularios simplificados de documentación técnica para PYME que sean aceptados por las autoridades nacionales para las evaluaciones de conformidad y ofrecerá actividades de formación adaptadas a las PYME para apoyar el cumplimiento.
  • Comunicación específica: orientación y respuesta a consultas a través de canales específicos para ayudar a las PYME a cumplir la Ley de IA.
  • Proporcionalidad: las obligaciones para los proveedores de de modelos de IA de uso general deben ser proporcionales al tipo de proveedor de modelos. Por ejemplo, en el Código de buenas prácticas habrá indicadores clave de rendimiento distintos para las PYME.

En las secciones siguientes se amplía cada una de estas disposiciones.

La categoría de "PYME" en la legislación de la UE

Según la legislación de la UE, las PYME son una categoría general de empresas que consta de tres subcategorías. Las medianas empresas tienen menos de 250 empleados y un volumen de negocios anual inferior a 50 millones de euros y/o no más de 43 millones de euros en su balance anual. Las pequeñas empresas emplean a menos de 50 personas y tienen un volumen de negocios anual y/o un balance inferior a 10 millones de euros. Las microempresas emplean a menos de 10 personas y tienen un volumen de negocios y/o un balance anual inferior a 2 millones de euros. Obsérvese que la Ley de IA menciona explícitamente a las empresas de nueva creación como parte de las PYME en toda la ley, a pesar de que actualmente no existe una definición separada o única de empresa de nueva creación en la legislación de la UE.

Disposiciones de la Ley de IA adaptadas a las PYME

Cajas de arena reglamentarias

Todos los Estados miembros adoptarán al menos un espacio aislado de regulación nacional. Los espacios aislados de regulación se utilizan para probar productos, tecnologías y servicios innovadores durante un tiempo limitado bajo supervisión reguladora fuera de las estructuras reguladoras normales. El concepto se utiliza en una serie de sectores, como las tecnologías financieras, el transporte, la energía, las telecomunicaciones y la salud, en muchas jurisdicciones diferentes, como el Reino Unido, Japón y Singapur. En lo que respecta a la Ley de IA, un recinto de seguridad reglamentario es un marco que permite a los proveedores de sistemas de IA desarrollar, entrenar, validar y probar legalmente nuevos sistemas de IA siguiendo un plan de recinto de seguridad acordado entre el proveedor y la autoridad supervisora. Estos espacios aislados pueden ser físicos, digitales o híbridos. Las pruebas en condiciones del mundo real también pueden facilitarse a través del marco de los sandboxes reguladores de IA. Los "sandboxes" están diseñados para apoyar la innovación al permitir un entorno de experimentación controlada para demostrar el cumplimiento, aumentar la seguridad jurídica tanto para los innovadores como para las autoridades y eliminar las barreras de acceso a los mercados para las PYME.

La documentación derivada de la participación en un espacio aislado puede utilizarse para demostrar el cumplimiento de la Ley de IA. Además, si los posibles proveedores respetan el plan y las condiciones del sandbox y siguen de buena fe las orientaciones de la autoridad nacional competente, no se enfrentarán a multas administrativas por infracción de la Ley. Téngase en cuenta que los proveedores de los entornos aislados reguladores de la IA no están exentos de responsabilidad por daños a terceros causados por la experimentación con sistemas de IA en un entorno aislado.

Las PYME tendrán acceso prioritario a los cajones de arena. Además, estos cajones de arena serán gratuitos para las PYME y los procedimientos de solicitud, selección, participación y salida de los cajones de arena serán sencillos, fáciles de entender y se comunicarán de forma clara. 

Ejemplos de "sandboxes": Varios países de la UE ya han creado espacios aislados para la IA, entre ellos Luxemburgo, España y Lituania. Aunque estos espacios aislados son incipientes, las lecciones aprendidas en otros campos indican algunas de las posibles repercusiones positivas de los mismos. Por ejemplo, las empresas que completaron con éxito las pruebas con el sandbox de la FCA del Reino Unido recibieron 6,6 veces más inversión en tecnología financiera. Además, en comparación con el tiempo de autorización estándar del regulador, el sandbox de la FCA británica aumentó la velocidad media de autorización del mercado en un 40%.

Reducir los costes y las tasas de cumplimiento

La Ley AI se centra en limitar los costes de cumplimiento para los pequeños agentes, por ejemplo exigiendo que las tasas nacionales de evaluación de la conformidad tengan en cuenta las necesidades de las PYME proveedoras y garanticen que dichas tasas sean proporcionales al tamaño, la dimensión del mercado y otros factores pertinentes. La Comisión Europea también llevará a cabo evaluaciones de los costes de cumplimiento para las PYME y colaborará con los Estados miembros para reducirlos. Por ejemplo, en lo que respecta a los costes de traducción relacionados con la documentación obligatoria, los Estados miembros deberán tratar de garantizar que aceptan la documentación y la comunicación en lenguas ampliamente comprendidas por el mayor número posible de implantadores transfronterizos.

En relación con las multas, la Ley establece el límite superior de las multas en función de lo que sea más elevado: una cantidad fija o un porcentaje fijo del volumen de negocios total a nivel mundial. Sin embargo, en el caso de las PYME, el límite superior se establece en función de lo que sea más bajo.

Participación en la elaboración de normas y la gobernanza

Las normas son una parte importante de cualquier legislación sobre seguridad de los productos en la UE, y la Ley de AI no es una excepción. Para garantizar que las perspectivas de las PYME se sopesan debidamente en el proceso de establecimiento de normas, la Comisión y los Estados miembros deben facilitar la participación de las PYME en el proceso de desarrollo de la normalización. 

La Ley de la IA también garantiza la representación de las PYME en su aplicación. Por ejemplo, las PYME deben estar representadas en el foro consultivo, órgano que asesora y aporta conocimientos técnicos al Consejo Europeo de IA y a la Comisión.

Documentación simplificada y formación específica

Para simplificar la documentación técnica de los sistemas de IA de alto riesgo para las PYME, la Comisión elaborará formularios de documentación técnica especiales y simplificados para las necesidades de las pequeñas empresas y microempresas. Éstos serán aceptados por las autoridades nacionales a efectos de las evaluaciones de conformidad. Por lo que respecta a las microempresas, algunos elementos de los sistemas de gestión de la calidad para los sistemas de IA de alto riesgo podrán cumplirse de forma simplificada. Además, los Estados miembros deben organizar actividades de sensibilización y formación adaptadas a las PYME sobre la aplicación de la Ley de IA para ayudar a las PYME a comprender y cumplir la Ley de IA.

Comunicación dedicada a las PYME

Los Estados miembros garantizarán canales de comunicación específicos para las PYME y otros actores relevantes, como las autoridades públicas locales, para apoyar a las PYME a lo largo de su trayectoria de desarrollo. Este apoyo incluye proporcionar orientación y responder a las preguntas sobre la aplicación de la Ley de AI, garantizando sinergias y homogeneidad en la orientación a las PYME. Varios Estados miembros ya han establecido los canales de información pertinentes, por ejemplo, el servicio austriaco de información sobre la IA.

Obligaciones proporcionales para las PYME proveedoras de modelos de IA de uso general

Otro aspecto de la Ley de IA diseñado para apoyar a las PYME es el principio de proporcionalidad. Para los proveedores de modelos de IA de propósito general, las obligaciones deben ser "proporcionadas y acordes con el tipo de proveedor del modelo". Los modelos de IA de propósito general muestran una generalidad significativa, son capaces de realizar de forma competente una serie de tareas diferentes y pueden integrarse en una serie de sistemas o aplicaciones posteriores(Art. 3(63) AIA). La forma en que se lanzan al mercado (pesos abiertos, propietarios, etc.) no afecta a la categorización.

Un pequeño subconjunto de los modelos de IA de propósito general más avanzados son los denominados "modelos de IA de propósito general con riesgo sistémico". Es decir, modelos entrenados utilizando enormes cantidades de potencia computacional (más de 10^25 FLOP) con capacidades de alto impacto que tienen un impacto significativo en el mercado de la Unión debido a su alcance o efectos negativos sobre la salud pública, la seguridad, la seguridad pública, los derechos fundamentales o la sociedad en su conjunto(Art. 3(65) AIA). Según Epoch, sólo hay 15 modelos en todo el mundo que superen el umbral de computación de 10^25 FLOP en febrero de 2025. Entre ellos se encuentran modelos como GPT-4o, Mistral Large 2, Aramco Metabrain AI, Doubao Pro y Gemini 1.0 Ultra. Algunos ejemplos de modelos de IA de propósito general más pequeños que probablemente no se considerarían de riesgo sistémico son GPT 3.5, los modelos desarrollados por Silo AI, Pharia-1-LLM-7B de Aleph Alpha o Deepseek-V3.

Las obligaciones de los proveedores de modelos de IA de propósito general y de modelos de IA de propósito general con riesgo sistémico se establecen en los artículos 53 y 55 de la Ley de IA, respectivamente, y se desarrollan en el Código de Buenas Prácticas. Los proveedores de modelos de IA de propósito general tienen ciertas obligaciones de transparencia. Los proveedores de modelos de IA de propósito general con riesgo sistémico tienen obligaciones adicionales de evaluar y probar los modelos, evaluar y mitigar el posible riesgo sistémico, llevar a cabo la notificación de incidentes y garantizar niveles adecuados de ciberseguridad. El Código se está redactando actualmente en un amplio proceso en el que participan múltiples partes interesadas, por lo que aún no se ha determinado su forma definitiva. Debido al principio de proporcionalidad, el Código debería tener debidamente en cuenta el tamaño del proveedor de modelos de IA de propósito general. Esto se reconoce, por ejemplo, en el actual segundo borrador como uno de los siete principios de alto nivel, y se refleja en indicadores clave de rendimiento distintos para las PYME en comparación con las empresas más grandes.

Nota importante: A efectos del cumplimiento por parte de los proveedores e implantadores posteriores que estén creando aplicaciones o integrando de otro modo modelos de IA de propósito general en sistemas de IA, no importa la distinción entre modelos de IA de propósito general y modelos de IA de propósito general con riesgo sistémico. En este caso, lo único que importa es el uso previsto de su sistema de IA y si este uso entra en el ámbito de alguna de las categorías de riesgo de la Ley de IA: sistemas prohibidos, sistemas de alto riesgo o sistemas con obligaciones especiales de transparencia. Este será el caso de la gran mayoría de las PYME de la UE.

Todo depende de la aplicación

En última instancia, los efectos y la facilidad de cumplimiento para las PYME dependen tanto de la aplicación de la Ley de IA como del propio texto. Existen diferentes recursos que pueden ayudar a los lectores a hacer un seguimiento de la aplicación, entre ellos:

Este artículo ha sido publicado el 19 feb, 2025

Artículos relacionados

Oportunidades de empleo en la Oficina Europea de AI en el ámbito jurídico y político

16 dic, 2024

La Comisión ha abierto dos convocatorias de manifestaciones de interés para contratar a nuevos miembros para la Oficina Europea de IA. Presente ahora su candidatura como jurista o responsable de políticas para tener la oportunidad de dar forma a una IA digna de confianza.La fecha límite para la manifestación de interés es el 15 de enero de 2025. El salario...

La Ley de AI: Responsabilidades de la Comisión Europea (Oficina de AI)

22 Ago, 2024

Si no está seguro de quién está aplicando y haciendo cumplir la nueva legislación digital y cuáles son los plazos concretos, puede que este post -y nuestro post sobre las responsabilidades de los Estados miembros de la UE- le resulte muy útil. Los cuadros que figuran a continuación ofrecen una...

La Ley de AI: Responsabilidades de los Estados miembros de la UE

22 Ago, 2024

Si no está seguro de quién está aplicando y haciendo cumplir la Ley de AI de la UE y cuáles son los plazos concretos, puede que este artículo -y nuestro artículo sobre las responsabilidades de la Comisión Europea (Oficina de AI)- le resulte muy útil. Los cuadros que figuran a continuación...