— Edición 1.247 33 trackers verificados
ES EN
Política · Tecnología · Regulación digital  ·  donde los datos hablan antes que los titulares
Regulación · Briefing

El verdadero costo del compliance del AI Act para una PYME española en 2026: el cálculo que nadie quiere publicar

Una PYME de quince empleados con tres sistemas de IA en producción tiene que poner entre 5.000 y 15.000 euros sobre la mesa el primer año, y entre 3.000 y 8.000 euros cada año siguiente, para llegar al 2 de agosto sin riesgo de sanción. Esto sumado a la auditoría externa, la ISO 42001 y el sandbox de AESIA, llega antes a treinta mil que a quince. Cuenta exacta.

Por Melinda R. Trujillo Reportera — España 9 min de lectura
AI Act AESIA PYME España compliance ISO 42001 sandbox regulatorio AEPD costos regulatorios
Regulación · Briefing 5.000 a 30.000 eurossegún el tamañodel sistema Costo año 1 del compliance AI Act por perfil empresarial — España, mayo 2026 Microempresa 1-9 empl. 5 k€ PYME pequeña 10-50 empl. 15 k€ PYME media 50-250 empl. 80 k€ Más ISO 42001 30 k€ Más auditoría 30 k€ Cifras en miles de euros · Fuentes: Knowlee, Javadex, Academia de IA · cierre 21 may 2026 DIÁLOGO CIUDADANO

La cuenta que se quería evitar

Faltan dos meses y diez días para que entre en vigor la parte central del AI Act en España. Aunque el acuerdo del Digital Omnibus del 7 de mayo de 2026 movió las obligaciones de alto riesgo del Anexo III al 2 de diciembre de 2027 y las de Anexo I al 2 de agosto de 2028, las fechas operativas para una PYME española siguen apretadas. Las prohibiciones del artículo 5 son aplicables desde febrero de 2025. Las obligaciones sobre modelos de propósito general aplican desde agosto de 2025. Las del artículo 4 sobre alfabetización en IA están operativas y AESIA ya las inspecciona. Lo que se aplaza no es el grueso de la actividad inspectora; lo que se aplaza es la categoría más cara.

Esta es la cuenta para una PYME española de quince a cincuenta empleados con uno a cinco sistemas de IA en operación. Cifras en euros, fuentes citadas inline, sin maquillaje.

Lo que cuesta el primer año

Tres tramos según tamaño, calculados con cifras públicas de consultoras españolas operativas en compliance de IA al cierre del primer trimestre de 2026:

Perfil empresarialCoste año 1Coste recurrente
Microempresa (1-9 empleados, 1 sistema IA)2.500 – 8.000 €1.500 – 4.000 €
PYME pequeña (10-50 empleados, 1-5 sistemas IA)5.000 – 15.000 €3.000 – 8.000 €
PYME media (50-250 empleados, 5-15 sistemas IA)25.000 – 80.000 €15.000 – 40.000 €

Cifras publicadas por Knowlee al cierre de abril de 2026, validadas contra estimaciones independientes de Academia de IA, Fase Consulting y Javadex en marzo de 2026. Tres notas materiales sobre estos rangos:

El rango bajo asume sistemas internos sencillos y uso de plantillas de AESIA. Las guías de autoevaluación que la Agencia publicó en enero de 2026 (40 preguntas, cuarenta minutos de tiempo estimado de cumplimentación) reducen costes de consultoría legal externa. La PYME que use solo IA generativa estándar (ChatGPT Enterprise, Microsoft Copilot, Gemini Workspace) y que tenga las obligaciones del artículo 4 cubiertas con formación interna entra cerca del piso del rango.

El rango alto asume sistemas propios o IA de alto riesgo según Anexo III. Cualquier sistema que cae en biometría, evaluación crediticia, recursos humanos automatizados, educación o procesos democráticos arrastra el coste hacia el techo del rango. La aplicación de IA en RRHH para cribar candidaturas, por ejemplo, está clasificada como alto riesgo y exige documentación técnica completa, registro en la AESIA, supervisión humana significativa y evaluación de impacto sobre derechos fundamentales.

Estos costes son de cumplimiento, no de tecnología. No incluyen el coste de la IA en sí, ni de la integración con sistemas internos. Incluyen asesoría legal, redacción de documentación, formación del personal, sistemas de auditoría interna. Knowlee es explícita: el rango cubre “asesoría legal, documentación, formación, sistema de auditoría”. No certificación ISO 42001. No auditorías externas. No sanciones eventuales.

Lo que cuesta a partir del segundo

El gasto recurrente cae aproximadamente a la mitad del año uno. La razón es estructural: el primer año concentra la inversión en construir la arquitectura documental, formar al equipo y registrar los sistemas de alto riesgo. Los años siguientes se gasta en mantener, actualizar y responder a cambios regulatorios.

Lo que pueden no anticipar muchas PYMEs es el coste de actualización ante cambios en la normativa. El AI Act, post-Omnibus de 7 de mayo de 2026, ya cambió fechas. Las directrices interpretativas de la AI Office europea y de AESIA están en publicación continua: AESIA, según el conteo de Academia de IA al cierre de mayo de 2026, ha publicado 16 guías de cumplimiento. Cada guía nueva implica revisar la documentación interna de la PYME para confirmar alineamiento.

Lo que cuesta la ISO 42001

La ISO 42001:2023 es el estándar internacional para sistemas de gestión de inteligencia artificial. Estructura los procesos que el AI Act exige documentar. La adopción no es obligatoria pero la certificación facilita la respuesta a AESIA en una inspección, y para muchas PYMEs que licitan a sector público es ya una exigencia documentada.

Coste de certificación ISO 42001, según las cifras públicas de Knowlee y validadas contra ofertas de consultoras boutique en España al cierre del primer trimestre de 2026: entre 8.000 y 30.000 euros, según alcance y tamaño de la empresa. Vigencia: tres años con auditorías de seguimiento anuales. Coste recurrente posterior: el 30 al 50 por ciento del coste inicial cada tres años para la recertificación.

Quien certifique ISO 42001 reduce el riesgo de sanción ante AESIA y se posiciona mejor en licitaciones públicas españolas y europeas. Quien no certifique cumple igual con el AI Act si tiene la documentación equivalente. La diferencia operativa es la velocidad de respuesta a inspección.

Lo que cuesta una auditoría externa de un sistema de alto riesgo

Javadex, en su análisis publicado en marzo de 2026, recoge cifras de mercado en España: una auditoría básica de un sistema de IA de alto riesgo cuesta entre 8.000 y 30.000 euros, según la complejidad del sistema. Las Big Four —Deloitte, PwC, EY, KPMG— ofrecen servicios especializados desde 15.000 euros. Consultoras boutique como Sngular o Enzyme Advising Group ofrecen precios para PYMEs desde 8.000 euros.

Para una PYME con un solo sistema de alto riesgo, la auditoría externa se acerca al coste anual completo del compliance ordinario. Es un gasto que muchas PYMEs no contemplan en su presupuesto inicial y que aparece tarde, cuando AESIA notifica una inspección.

El sandbox de AESIA: una oportunidad real

El Real Decreto 817/2023 estableció el primer sandbox regulatorio español para IA. La Secretaría de Estado de Digitalización e Inteligencia Artificial publicó las preguntas frecuentes del mecanismo en el portal avance.digital.gob.es. La condición explícita: para que un sistema entre al sandbox, al menos una PYME o startup debe participar en el grupo solicitante. Las entidades grandes y administraciones públicas pueden participar como parte de una agrupación, pero la PYME tiene que estar dentro.

El sandbox da a la PYME acceso supervisado de AESIA a su sistema durante una ventana de prueba acotada. La PYME prueba el sistema en condiciones reales, AESIA observa el cumplimiento, y al cierre del sandbox la PYME recibe un informe que sirve como evidencia ante una eventual inspección posterior. Plazas limitadas. Acceso por convocatoria. Coste para la PYME participante: cero euros directos, salvo el tiempo de equipo dedicado.

Es la única opción genuinamente barata para una PYME española con un sistema de alto riesgo en desarrollo. Y es la menos publicitada.

Lo que cuesta no cumplir

El régimen sancionatorio del AI Act tiene tres niveles. Las cifras son las del Reglamento (UE) 2024/1689:

Tipo de infracciónMulta máxima estándarCálculo para PYME
Prohibiciones artículo 535 M€ o 7% facturación global, lo mayor7% de la facturación, no 35 M€
Otras obligaciones del Reglamento15 M€ o 3% facturación, lo mayor3% de la facturación, no 15 M€
Información incorrecta a autoridades7,5 M€ o 1,5% facturación, lo mayor1,5% de la facturación, no 7,5 M€

La adaptación para PYMEs y startups invierte la regla del “lo mayor” por “lo menor”. Es la concesión del legislador europeo a las economías de menor escala. Fase Consulting lo formula así: “la simplificación afecta al cómo, no al si”.

Una startup con dos millones de euros de facturación, la sanción máxima por la infracción más grave del artículo 5, es 140.000 euros (el 7% de dos millones). No 35 millones. Es un alivio real frente al régimen empresarial estándar. También es una cifra que para esa startup puede ser equivalente a su runway operativo de seis meses.

La cuenta total para una PYME promedio

Vamos a hacer la cuenta sin maquillaje, para una PYME española de cuarenta empleados con tres sistemas de IA en operación, dos de bajo riesgo (chatbot interno, asistente de documentación) y uno de alto riesgo (cribado de candidaturas en RRHH):

ConceptoAño 1Recurrente
Compliance ordinario (asesoría, documentación, formación)12.000 €6.000 €
Auditoría externa del sistema de alto riesgo15.000 €8.000 € cada 2 años
ISO 42001 (opcional, recomendable)18.000 €6.000 € (recertificación cada 3 años)
Total año 145.000 €
Total año 214.000 €
Total año 3 (con recertificación)20.000 €
Total año 4 (con auditoría externa)22.000 €

Esta PYME promedio paga 45.000 euros el primer año y aproximadamente 18.000 euros anuales en los tres siguientes. Si decide no hacer ISO 42001 y trabajar solo con documentación interna alineada al estándar, recorta 18.000 euros del año uno y se queda en aproximadamente 27.000 euros. Si decide no contratar auditoría externa y delega esa responsabilidad a su asesor interno, recorta 15.000 euros más y se queda en aproximadamente 12.000 euros.

El piso mínimo defendible ante una inspección de AESIA, para una PYME con tres sistemas y uno de alto riesgo, está alrededor de 12.000 euros año uno, con 6.000 euros recurrentes. Por debajo de eso, lo que se compra no es compliance: es esperanza de no ser inspeccionado.

Quién está vigilando

AESIA, con sede en A Coruña, fue creada por Real Decreto en agosto de 2023, casi un año antes de que el AI Act se aprobara formalmente. Es la primera autoridad nacional de supervisión de IA designada en la UE. Al cierre de mayo de 2026, según cifras públicas recogidas por Javadex y Academia de IA, opera con 120 inspectores y un presupuesto de 42 millones de euros para 2026. Ha publicado 16 guías de cumplimiento. Tiene 23 investigaciones preliminares abiertas.

La AEPD opera en paralelo en lo que toca a datos personales asociados a sistemas de IA. Sus cifras al cierre del primer trimestre de 2026, según Javadex: 147 investigaciones relacionadas con IA, un aumento del 340 por ciento respecto a 2024. El 68 por ciento de las empresas españolas no había realizado una Evaluación de Impacto relativa a la Protección de Datos para sus sistemas de IA al inicio del año.

AESIA, según declaraciones públicas de la propia agencia, priorizará la acción educativa durante los primeros seis meses de aplicación plena (hasta agosto de 2026). Después se espera una aplicación más estricta. Las empresas que lleguen al 2 de agosto con los siete elementos de cumplimiento bien documentados —política, roles, censo de sistemas, clasificación por riesgo, evaluación de impacto, formación del personal, sistema de auditoría— tienen riesgo de sanción muy bajo. Las que lleguen improvisando van a ser, casi por necesidad, los primeros casos.

Por qué importa esta cuenta

La conversación pública sobre el AI Act en España se ha dividido entre dos extremos: el alarmista, que habla de multas de 35 millones de euros como si fueran probables, y el complaciente, que dice que la PYME está exenta. Ninguno es exacto. La PYME no está exenta. La multa de 35 millones no le aplica como tope salvo facturaciones excepcionales. Y la cuenta real del cumplimiento, para una PYME española de tamaño promedio, está entre 12.000 y 45.000 euros el primer año, con recurrente entre 6.000 y 18.000 euros.

Es manejable para una empresa con margen. Es asfixiante para una PYME que opera al límite. Y es exactamente el tipo de coste regulatorio que diferenciará a las empresas que sobreviven al ciclo 2026-2028 de las que ceden cuota de mercado a competidores que sí pudieron pagar el ticket de entrada.

El AI Act no es un impuesto sobre la IA. Es un costo de operación.

Metodología y transparencia

Fuentes primarias consultadas (con fecha y URL):

  • Reglamento (UE) 2024/1689, texto consolidado post-Omnibus de 7 mayo 2026
  • BM Consulting, “AI Act Cumplimiento España 2026: Guía para Empresas”, primer trimestre 2026
  • Javadex, “EU AI Act: Guía de Cumplimiento para Empresas Españolas [Agosto 2026]”, marzo 2026
  • Javadex, “Reglamento IA Europeo Entra en Vigor en España: Multas de Hasta 35M€ para Empresas [2026]”, marzo 2026
  • Knowlee, “AI Act en España: guía de cumplimiento para empresas 2026”, primer trimestre 2026
  • Fase Consulting, “AI Act 2026: Guía Completa del Reglamento de IA para Empresas”, marzo 2026
  • Startbrain.ai, “AI Act España: obligaciones + plazos (2026)”, mayo 2026
  • Academia de IA, “Cumplimiento del AI Act para pymes españolas: guía práctica 2026”, mayo 2026
  • Cumple con IA, “AESIA: qué es, qué hace y cómo afecta a tu PYME”, primer trimestre 2026
  • Secretaría de Estado de Digitalización e Inteligencia Artificial, “Preguntas Frecuentes Sandbox IA”, avance.digital.gob.es
  • Real Decreto 817/2023, sandbox regulatorio español de IA
  • Upliora, “Ayudas y Subvenciones para IA en PYMEs España 2026: Guía Completa”, febrero 2026
  • ISO 42001:2023, estándar internacional para sistemas de gestión de IA

Datos modelados o estimaciones propias: la “cuenta total para una PYME promedio” es un cálculo propio construido a partir de los rangos publicados por las fuentes citadas. La metodología consiste en seleccionar valores intermedios dentro de cada rango y sumarlos por perfil empresarial. Los rangos originales son verificables en las fuentes; la suma agregada es responsabilidad editorial.

Lo que esta pieza no afirma:

  • No afirma que estos costes apliquen automáticamente a toda PYME española. Cada empresa tiene una combinación particular de sistemas, sectores y exposición a Anexo III que modifica la cuenta.
  • No afirma que la auditoría externa sea obligatoria. No lo es. Es recomendable para sistemas de alto riesgo, exigible solo en casos específicos.
  • No predice sanciones futuras de AESIA. Las cifras de investigaciones preliminares no son cifras de sanciones impuestas.

Conflictos de interés: Diálogo Ciudadano no recibe financiamiento de AESIA, AEPD, Big Four españolas, ni de las consultoras citadas como fuente. La línea editorial es bilingüe e independiente.

Producción editorial. Esta pieza fue producida en mayo de 2026 por el equipo editorial de Diálogo Ciudadano usando flujos de trabajo asistidos por software, incluyendo herramientas de búsqueda, organización de fuentes y redacción. La verificación de cada cifra, la atribución de cada fuente y la línea argumental son responsabilidad editorial humana. Cualquier error es responsabilidad de la redacción.

Última actualización: 21 de mayo de 2026, 14:00 GMT. La pieza se actualizará cuando: (a) AESIA publique las primeras resoluciones sancionadoras del bloque grande del Reglamento; (b) la AI Office europea publique guías oficiales de implementación; (c) cambien las estimaciones de coste de mercado.

Seguir leyendo

Regulación digital · Datos

Cuenta atrás para el 2 de agosto: el día en que el AI Act europeo empieza a morder de verdad

26 may 2026 · 9 min
Riesgo regulatorio comparado · Datos

El mapa global de la regulación de IA: 72 países, 1.000 iniciativas y solo dos leyes que de verdad obligan

26 may 2026 · 10 min
Regulación IA · Datos

Tres modelos para gobernar la misma máquina: cómo regulan la IA la UE, Estados Unidos y América Latina

26 may 2026 · 9 min
← Más análisis Inicio