Noticias de IA para Negocios

EU AI Act 2026: requisitos de IA para empresas en la UE

Vistas: 504 Publicado: 29.04.2026
🇺🇦 UK 🇺🇸 EN 🇩🇪 DE 🇪🇸 ES
EU AI Act 2026: requisitos de IA para empresas en la UE

La Ley de IA de la UE (Reglamento UE 2024/1689) es la primera ley integral del mundo para regular la inteligencia artificial. Entró en vigor el 1 de agosto de 2024 y se implementa por etapas. Los requisitos de transparencia para los chatbots de IA estarán vigentes a partir del 2 de agosto de 2026; los requisitos para los sistemas de IA de alto riesgo (puntaje crediticio, reclutamiento de RR. HH., triaje médico) se posponen hasta el 2 de diciembre de 2027 de acuerdo con el acuerdo Ómnibus Digital anterior (mayo de 2026). Para las empresas en Alemania y Austria, esto significa: si tiene un chatbot de IA en su sitio web, prepárese para agosto de 2026; si tiene un sistema de alto riesgo, la fecha límite es diciembre de 2027, pero la preparación lleva de 12 a 18 meses.

La mayoría de los dueños de negocios en la UE han oído hablar de la Ley de IA de la UE, pero pocos entienden qué se vuelve específicamente obligatorio y cuándo. Un centro médico en Viena que utiliza un chatbot de IA para responder a los pacientes, un bufete de abogados en Frankfurt con un asistente de IA para trabajar con contratos, un distribuidor en Múnich con una herramienta de IA para gerentes, todos están cubiertos por la Ley de IA. La única pregunta es a qué categoría de riesgo pertenece su sistema y qué obligaciones específicas impone.

En este artículo, encontrará una línea de tiempo clara, cuatro niveles de riesgo con ejemplos específicos, requisitos para la medicina y los abogados en DE/AT, y una explicación de por qué la arquitectura de su sistema de IA, ya sea autoalojada o en la nube, afecta directamente el cumplimiento de la ley.

¿Qué es la Ley de IA de la UE y por qué concierne a su negocio ahora?

La Ley de IA de la UE es el Reglamento UE 2024/1689, adoptado el 21 de mayo de 2024 y publicado el 12 de julio de 2024. Entró en vigor legal el 1 de agosto de 2024. En su lógica, es similar al RGPD: regula no tecnologías específicas, sino los riesgos de su uso, también tiene aplicación extraterritorial y también prevé sanciones graves por incumplimiento.

La diferencia clave con el RGPD es que mientras el RGPD regula *cómo* usted procesa los datos personales, la Ley de IA regula *qué sistemas de IA* usted utiliza y para qué. Estos dos reglamentos no se reemplazan mutuamente, sino que se complementan. Si su sistema de IA procesa datos personales de clientes o pacientes, está sujeto tanto al RGPD como a la Ley de IA.

Por qué esto concierne específicamente a su negocio ahora. La Ley de IA se aplica a cualquier organización que introduzca sistemas de IA en el mercado de la UE o los utilice en sus operaciones dentro de la UE, independientemente de dónde se encuentre el desarrollador del sistema. Es decir, si usted es un centro médico en Viena que ha conectado un chatbot de IA estadounidense para responder a los pacientes, usted, como implementador (deployer), está sujeto a las obligaciones de la Ley de IA. Si usted es un bufete de abogados en Berlín que utiliza un servicio de IA SaaS para analizar contratos, es lo mismo.

La ley distingue dos tipos de operadores: el proveedor (el desarrollador que crea o encarga un sistema de IA y lo introduce en el mercado) y el implementador (la organización que utiliza un sistema de IA existente en sus operaciones). La mayoría de las empresas —centros médicos, bufetes de abogados, distribuidores— son implementadores. Los implementadores tienen menos obligaciones que los proveedores, pero son reales y obligatorias.

Cronograma de implementación: lo que ya está vigente, lo que se lanza en agosto de 2026

La Ley de IA se implementa por etapas, no todo a la vez. Aquí está el cronograma exacto:

Fecha Qué entra en vigor A quién concierne
1 de agosto de 2024 La Ley de IA entró en vigor legal como Reglamento UE 2024/1689 Todos los operadores en la UE
2 de febrero de 2025 Prohibiciones de prácticas de IA inaceptables (art. 5) + requisitos de alfabetización en IA para el personal (art. 4) Todas las empresas que utilizan IA en la UE
2 de agosto de 2025 Reglas para modelos GPAI (GPT-4, Claude, Gemini, etc.): documentación, transparencia, derechos de autor Proveedores de modelos GPAI
2 de agosto de 2026 Aplicación completa de la Ley de IA: todos los requisitos para sistemas de IA de alto riesgo (Anexo III), requisitos de transparencia (art. 50), registro en la base de datos de la UE Todos los operadores de sistemas de IA de alto riesgo
2 de agosto de 2027 Requisitos para IA de alto riesgo integradas en productos regulados (Anexo I): dispositivos médicos, aviación, automóviles Fabricantes de productos regulados con IA

Lo que ya ha ocurrido y lo que significa para las empresas. A partir del 2 de febrero de 2025, se prohíben 8 categorías de prácticas de IA, incluidas la puntuación social y los sistemas de reconocimiento de emociones en el lugar de trabajo y en las instituciones educativas, la recopilación masiva de datos biométricos. La multa por violar estas prohibiciones es de hasta 35 millones de euros o el 7% de la facturación global anual, lo que sea mayor (art. 99 de la Ley de IA).

A partir del 2 de agosto de 2025, los proveedores de modelos GPAI (OpenAI, Google, Anthropic, Mistral) deben proporcionar documentación técnica, cumplir con los derechos de autor y publicar un resumen de los datos de entrenamiento. OpenAI, Google, Mistral y Microsoft ya han firmado el Código de Prácticas correspondiente. Meta se negó y ahora se encuentra en un limbo regulatorio.

Fecha clave para la mayoría de las empresas: 2 de agosto de 2026. A partir de esta fecha, se aplican plenamente los requisitos para los sistemas de IA de alto riesgo según el Anexo III. Esto se aplica a la IA en medicina, derecho, finanzas, educación, empleo e infraestructuras críticas. A día de hoy (abril de 2026), quedan menos de 100 días.

Nota: En noviembre de 2025, la Comisión Europea propuso el Ómnibus Digital, un paquete de simplificaciones que podría ajustar la fecha de aplicación de las reglas de alto riesgo. En el momento de escribir este artículo, esta propuesta aún no ha sido adoptada y se está discutiendo en el Parlamento Europeo. Hasta su adopción, la fecha oficial sigue siendo el 2 de agosto de 2026.

Cuatro niveles de riesgo: a qué categoría pertenece su sistema de IA

La Ley de IA no regula todos los sistemas de IA de la misma manera. La lógica de la ley es que cuanto mayor sea el riesgo potencial para la salud, la seguridad o los derechos fundamentales de las personas, más estrictas serán las obligaciones. El sistema de clasificación tiene cuatro niveles: desde la prohibición total hasta la ausencia total de requisitos. El alcance del cumplimiento depende de la categoría a la que pertenezca su sistema de IA, desde cero obligaciones adicionales hasta documentación técnica completa, auditoría independiente y registro en la base de datos de la UE.

Antes de continuar leyendo: si no está seguro de a qué categoría pertenece su sistema, utilice el Verificador de Cumplimiento gratuito del Future of Life Institute. La herramienta hace entre 10 y 15 preguntas y proporciona una clasificación preliminar.

Nivel 1: Riesgo Inaceptable — Prohibido desde el 2 de febrero de 2025

Estos son sistemas de IA que representan una amenaza directa para los derechos fundamentales, la seguridad o la dignidad humana. Están totalmente prohibidos en el territorio de la UE, no regulados, sino específicamente prohibidos. El artículo 5 de la Ley de IA contiene una lista exhaustiva de 8 categorías. Las prohibiciones entraron en vigor el 2 de febrero de 2025.

Qué está específicamente prohibido:

Multa por incumplimiento: hasta 35 000 000 € o el 7% de la facturación anual global, lo que sea mayor (art. 99 de la Ley de IA). Para una empresa con una facturación de 10 millones de euros, el máximo es de 700.000 €. Para una empresa con una facturación de 1.000 millones de euros, es de 70.000.000 €.

Qué significa esto para las PYMES en la práctica: si su departamento de RR. HH. está considerando una herramienta de IA que "analiza microexpresiones faciales en entrevistas" o "evalúa el estado emocional del personal", esto es un incumplimiento directo del art. 5 de la Ley de IA que ya está vigente. Se deben evitar tales herramientas, independientemente de cómo las posicione el vendedor.

Nivel 2: Alto Riesgo — Requisitos estrictos a partir del 2 de agosto de 2026

Esta es la categoría más amplia e importante en términos de cumplimiento para las empresas. Los sistemas de IA de alto riesgo no están prohibidos, sino que están sujetos a una regulación detallada. La lista completa se encuentra en el Anexo III de la Ley de IA y cubre ocho áreas donde la IA puede tener un impacto significativo en los derechos, la salud o el bienestar de las personas.

Ocho áreas de IA de alto riesgo:

Obligaciones para sistemas de alto riesgo (Artículos 9-15 de la Ley de IA):

Multa por incumplimiento: hasta 15 000 000 € o el 3% de la facturación anual global, lo que sea mayor.

Qué significa esto para las PYMES en la práctica: si su empresa en DE/AT utiliza una herramienta de IA para cribar currículos, evaluar automáticamente candidatos o determinar la calificación crediticia de los clientes, estos sistemas son de alto riesgo. Para el 2 de agosto de 2026, se requiere documentación técnica, un sistema de supervisión documentado y, si el proveedor no garantiza el cumplimiento, la migración a un sistema compatible o la renuncia a la funcionalidad.

Nivel 3: Riesgo Limitado — Requisitos de Transparencia a partir del 2 de agosto de 2026

Estos son sistemas de IA que interactúan directamente con las personas o generan contenido, pero no toman decisiones que afecten significativamente los derechos o el bienestar. Las obligaciones aquí son mucho menores que para el alto riesgo: lo más importante es la transparencia. La persona debe saber que está interactuando con IA.

Qué entra en el ámbito del riesgo limitado (art. 50 de la Ley de IA):

Multa por incumplimiento del art. 50: hasta 15 000 000 € o el 3% de la facturación anual global.

Qué significa esto para las PYMES en la práctica: si tiene un chatbot de IA en el sitio web de un centro médico, bufete de abogados o distribuidor, debe agregar una notificación explícita al comienzo del chat antes del 2 de agosto de 2026. Esto no es técnicamente difícil, pero es legalmente obligatorio. El incumplimiento conlleva una multa del mismo nivel que para los sistemas de alto riesgo por violar el art. 13.

Nivel 4: Riesgo Mínimo o Nulo — Sin regulación adicional

La gran mayoría de las herramientas de IA que las empresas utilizan a diario entran aquí. La Ley de IA especifica directamente que no impone requisitos a los sistemas de riesgo mínimo. Ejemplos: filtros de spam en el correo electrónico, recomendaciones de contenido de IA en plataformas de streaming, IA para videojuegos, sistemas de autocorrección de texto, herramientas básicas de automatización y planificación.

No hay obligaciones adicionales según la Ley de IA para esta categoría. Sin embargo, los requisitos generales del RGPD sobre el procesamiento de datos personales siguen siendo válidos independientemente de la categoría de riesgo de la Ley de IA.

¿Dónde se encuentra el asistente de IA para documentos en esta clasificación?

Esta es la pregunta que más frecuentemente hacen nuestros clientes: centros médicos, bufetes de abogados y distribuidores. La respuesta depende de *qué* hace exactamente el sistema y *qué decisiones* apoya.

Caso de uso Categoría de Ley de IA Obligación clave
La IA responde a los pacientes sobre la preparación para procedimientos según los protocolos de la clínica ⚠️ Nivel 3 — riesgo limitado Notificación explícita "Está hablando con IA" a partir del 02.08.2026
La IA ayuda a un abogado a encontrar un punto relevante en 300 contratos ✅ Nivel 4 — riesgo mínimo Ningún requisito adicional de la Ley de IA (pero existe el RGPD)
La IA ayuda a un gerente a encontrar las especificaciones técnicas de un producto durante una llamada con un cliente ✅ Nivel 4 — riesgo mínimo Ningún requisito adicional de la Ley de IA
La IA evalúa la solvencia crediticia de un cliente o el riesgo de seguro 🔴 Nivel 2 — alto riesgo (Anexo III) Cumplimiento total: documentación, auditoría, registro, supervisión humana
La IA clasifica los currículos de los candidatos para un gerente de RR. HH. 🔴 Nivel 2 — alto riesgo (Anexo III) Cumplimiento total: documentación, auditoría, registro
La IA ayuda a un juez a analizar los hechos de un caso 🔴 Nivel 2 — alto riesgo (Anexo III) Cumplimiento total + evaluación de conformidad independiente
La IA analiza las emociones de los empleados en las reuniones 🚫 Nivel 1 — prohibido Prohibido desde el 02.02.2025. Multa de hasta 35 millones de euros

Conclusión práctica: un asistente de IA que responde preguntas exclusivamente de sus documentos cargados y no toma decisiones que afecten significativamente los derechos o el bienestar de las personas, con mayor frecuencia entra en la categoría de riesgo limitado o mínimo. Esto significa un volumen relativamente pequeño de obligaciones: una notificación explícita sobre la IA y el cumplimiento del RGPD en cuanto al almacenamiento de datos. Pero si el mismo instrumento comienza a utilizarse para evaluar candidatos, calificar crédito o realizar triajes médicos, la categoría cambia a alto riesgo y los requisitos aumentan drásticamente.


Requisitos específicos para empresas en DE/AT: medicina, abogados, finanzas

La Ley de IA es un reglamento paneuropeo, pero no funciona en el vacío. En Alemania y Austria, interactúa con sus propias implementaciones del GDPR, legislación sectorial y códigos profesionales. Para centros médicos, bufetes de abogados y empresas financieras en DE/AT, esto significa una capa doble o triple de requisitos, y la omisión de cualquiera de ellas crea un riesgo legal. Más detalles sobre la especificidad del GDPR en DE/AT en el artículo IA y GDPR en Alemania y Austria: requisitos para sistemas corporativos.

Centros médicos en Austria y Alemania

La medicina es la esfera más regulada en el contexto de la IA en la UE. Los sistemas de IA en medicina están sujetos simultáneamente a cuatro capas de legislación: la Ley de IA de la UE, el GDPR (art. 9 - categorías especiales de datos), el Reglamento de Dispositivos Médicos de la UE (MDR 2017/745) y la legislación nacional de salud. Las cuatro capas actúan en paralelo y no se sustituyen mutuamente.

Qué se considera de alto riesgo en medicina según la Ley de IA (Anexo III):

Qué no se considera de alto riesgo pero está sujeto al nivel 3 (riesgo limitado): Un asistente de IA que responde preguntas informativas de los pacientes a partir de protocolos de la clínica — "¿cómo prepararse para una gastroscopia?", "¿qué llevar a la cita?", "¿cuánto dura una resonancia magnética?" — no se considera de alto riesgo según la Ley de IA. Sin embargo, está sujeto al art. 50 (requisito de transparencia) y al GDPR si, durante la interacción, recopila cualquier dato personal del paciente.

Requisitos prácticos para un centro médico en Austria o Alemania:

Más detalles sobre el tratamiento de datos médicos a través de IA y GDPR en el artículo IA en medicina: cómo procesar datos médicos sin infringir la ley.

Bufetes de abogados en Austria y Alemania

Los bufetes de abogados se encuentran en una posición particularmente difícil: la Ley de IA, el GDPR y el secreto profesional como principio constitucionalmente protegido exigen que los datos de los clientes no abandonen un entorno controlado. Al mismo tiempo, la mayoría de las herramientas de IA populares para abogados son servicios en la nube de origen estadounidense.

Qué se considera de alto riesgo para bufetes de abogados según la Ley de IA: La IA que ayuda a un tribunal a analizar hechos de un caso o interpretar la ley se considera de alto riesgo según el Anexo III, punto 8. La IA que ayuda a un abogado a encontrar puntos relevantes en contratos o a formular argumentos *no* es de alto riesgo, pero está sujeta a los requisitos de transparencia si interactúa directamente con el cliente.

Especificidad de DE/AT para bufetes de abogados:

Empresas financieras y de seguros en Austria y Alemania

El sector financiero es un área de máxima atención para la Ley de IA. El Anexo III incluye explícitamente como categorías de alto riesgo dos casos de uso clave que son estándar para bancos y compañías de seguros: la evaluación de la solvencia de personas físicas y la calificación de riesgos en seguros. Junto con la Ley de IA, las empresas financieras en DE/AT están sujetas a la regulación prudencial de BaFin y FMA, que ya tienen sus propios requisitos para decisiones algorítmicas.

Qué se considera de alto riesgo para empresas financieras según la Ley de IA (Anexo III):

Obligaciones para empresas financieras a partir del 2 de agosto de 2026:

Qué no se considera de alto riesgo para empresas financieras: Un asistente interno de IA que ayuda a los gerentes a encontrar información en reglamentos internos y descripciones de productos no es de alto riesgo; es de nivel 4 (riesgo mínimo). La IA que responde a preguntas generales de los clientes sobre productos del banco a través de un chat en el sitio web es de nivel 3 (riesgo limitado, requisito de transparencia). La diferencia es fundamental: el mismo banco puede tener simultáneamente un sistema de alto riesgo (calificación crediticia) y un sistema de riesgo mínimo (directorio interno para el personal).


Por qué la IA en la nube genera problemas con la Ley de IA — y dónde gana la autoalojada

La Ley de IA y el GDPR, juntos, crean un panorama de cumplimiento donde la decisión arquitectónica —dónde se implementa físicamente su sistema de IA y quién es el operador de datos— tiene consecuencias jurídicas directas. No se trata de preferencias o conveniencia. Se trata de si puede cumplir los requisitos específicos de los artículos 9-15 de la Ley de IA y los artículos 5, 24, 28 del GDPR al utilizar un servicio en la nube de origen estadounidense. Para la mayoría de las empresas en DE/AT que procesan datos sensibles, la respuesta se complica por tres problemas sistémicos.

Más información sobre dónde se almacenan físicamente sus datos con diferentes servicios de IA — en el artículo IA autoalojada vs. en la nube: dónde residen sus datos.

Problema 1: La Ley CLOUD de EE. UU. frente al GDPR y la Ley de IA

La Ley CLOUD (Clarifying Lawful Overseas Use of Data Act, EE. UU., 2018) permite a las fuerzas del orden estadounidenses exigir a las empresas estadounidenses que proporcionen datos almacenados en sus servidores, independientemente de la ubicación física de estos servidores. OpenAI, Google, Microsoft, Amazon, Notion, Salesforce son todas empresas estadounidenses y todas están sujetas a la Ley CLOUD. Esto significa que, incluso si su asistente de IA basado en OpenAI está implementado en servidores en Frankfurt, bajo una orden judicial de EE. UU., OpenAI podría verse obligada a proporcionar acceso a estos datos a la parte estadounidense.

El GDPR y la Ley de IA no anulan ni bloquean la Ley CLOUD; regulan jurisdicciones diferentes. Los Acuerdos de Procesamiento de Datos (DPA) con un proveedor estadounidense y las Evaluaciones de Impacto de Transferencia (TIA) son documentos obligatorios, pero reducen el riesgo para la mayoría de los datos, sin eliminarlo para las categorías más sensibles. Para los datos médicos de pacientes (artículo 9 del GDPR — categorías especiales), materiales de casos judiciales sujetos al secreto profesional, o datos financieros de clientes con requisitos de secreto bancario — ni siquiera un DPA firmado proporciona protección suficiente. La Cámara de Abogados de Austria (ÖRAK) y varias cámaras de abogados de los estados alemanes recomiendan explícitamente no utilizar servicios de IA en la nube estadounidenses para procesar materiales de casos precisamente debido al riesgo de la Ley CLOUD.

¿Qué significa esto en la práctica? Si usted es un centro médico en Viena o un bufete de abogados en Múnich y utiliza la API de ChatGPT o Notion AI para trabajar con datos sensibles de clientes, tiene una vulnerabilidad legal abierta que ningún contrato con el proveedor cierra. Un sistema autoalojado en un servidor Hetzner en Nuremberg o Helsinki —gestionado por una empresa alemana o finlandesa— elimina este riesgo arquitectónicamente: las autoridades policiales estadounidenses no tienen jurisdicción sobre datos que nunca han llegado a una empresa estadounidense.

Problema 2: Transparencia, documentación y control del sistema

La Ley de IA exige a los desplegadores —es decir, a usted como empresa que utiliza IA— capacidades específicas: explicar cómo toma decisiones el sistema (artículo 13), demostrar control sobre él (artículo 14), tener documentación técnica del sistema (artículo 11) y mantener un registro de su funcionamiento (artículo 12).

Un proveedor de SaaS en la nube le proporciona documentación de su sistema, pero no de su instalación específica. OpenAI publica el mapa del sistema de GPT-4, Microsoft publica la documentación de Copilot, pero esta documentación describe el modelo base, no cómo su empresa lo ha configurado exactamente, qué documentos ha cargado y qué prompt del sistema utiliza. Para el cumplimiento de la Ley de IA, se necesita documentación de su sistema específico, que usted mismo ha configurado e implementado.

Existe otro problema: los proveedores de la nube actualizan sus modelos, a menudo sin previo aviso y sin la posibilidad de permanecer en una versión anterior. GPT-4o en febrero de 2026 y GPT-4o en agosto de 2026 son versiones diferentes con comportamientos diferentes. Si su sistema de alto riesgo pasó la evaluación de conformidad en febrero, y el proveedor actualizó el modelo en abril sin su conocimiento, técnicamente su documentación está obsoleta y el sistema necesita una reevaluación. Un sistema autoalojado donde usted mismo controla qué versión del modelo utiliza se libera de este problema.

¿Qué significa esto en la práctica? Para el nivel 3 (riesgo limitado), la IA en la nube es totalmente aceptable si hay un DPA y una notificación explícita a los usuarios. Para el nivel 2 (alto riesgo), la IA en la nube requiere un esfuerzo considerablemente mayor para documentar y demostrar el cumplimiento: está esencialmente obligado a documentar un sistema ajeno, que no controla y que puede cambiar sin su conocimiento. Más información — en el artículo IA autoalojada vs. SaaS: qué elegir para documentos corporativos.

Problema 3: Supervisión humana y control real del sistema

El artículo 14 de la Ley de IA exige que, para los sistemas de alto riesgo, una persona pueda controlar eficazmente el sistema, comprender sus decisiones y tener la capacidad de suspenderlas o revocarlas. No es solo un requisito de interfaz, es un requisito arquitectónico: el sistema debe estar diseñado de manera que la supervisión humana sea realmente posible, no solo formal.

El SaaS en la nube le proporciona control dentro de los límites permitidos por la API del proveedor. Puede configurar el prompt del sistema, establecer límites a través de los parámetros de la API, deshabilitar ciertas funciones, pero no puede controlar el modelo base, no sabe exactamente cómo interpreta su prompt después de otra actualización y no puede garantizar que su comportamiento no cambie. Si el sistema empieza repentinamente a dar respuestas inesperadas después de una actualización del proveedor, sus opciones de intervención se limitan a lo que permite la API.

Un sistema autoalojado le da otro nivel de control: usted mismo determina qué modelo utiliza (Llama, Mistral, Qwen o GPT a través de OpenRouter), usted mismo configura el prompt del sistema y los límites, y usted mismo controla cuándo y qué versión se actualiza. Si el modelo se comporta de manera inesperada, puede revertir a una versión anterior, cambiar la configuración o reemplazar completamente el proveedor de LLM sin cambiar el resto del sistema. Esto es supervisión humana real en el sentido del artículo 14 de la Ley de IA.

Problema 4: Responsabilidad y cadena de operadores

La Ley de IA distingue claramente entre el proveedor (desarrollador del sistema) y el desplegador (empresa que lo utiliza) y distribuye las obligaciones entre ellos. Pero cuando utiliza un SaaS en la nube, la cadena de responsabilidad se complica: está el desarrollador del modelo base (por ejemplo, OpenAI), el proveedor de SaaS que crea un producto sobre la base de este modelo, y usted como desplegador final. Si algo sale mal, el regulador acudirá a usted como desplegador, y su respuesta "es culpa del proveedor" no le exime de responsabilidad según el artículo 26 de la Ley de IA.

Un sistema autoalojado donde usted es tanto el desplegador como el operador efectivo simplifica esta cadena. Usted sabe lo que utiliza, documenta su sistema y asume la responsabilidad de su propia instalación, no de una plataforma ajena que no controla.

Dónde gana la autoalojada desde la perspectiva de la Ley de IA y el GDPR

Requisito SaaS en la nube (proveedor estadounidense) Autoalojado (AskYourDocs, servidor en la UE)
Ubicación de los datos — servidor en la UE ⚠️ El servidor puede estar en la UE, pero el proveedor es una empresa estadounidense sujeta a la Ley CLOUD ✅ Hetzner (Nuremberg / Helsinki) u OVH (Estrasburgo) — proveedor no estadounidense, la Ley CLOUD no es aplicable
Documentación técnica del propio sistema (art. 11) ⚠️ Existe documentación del proveedor sobre el modelo base, pero no sobre su instalación y configuración específicas ✅ Usted documenta su propio sistema: qué modelo, qué versión, qué configuración, qué documentos se cargaron
Transparencia del procesamiento para desplegadores (art. 13) ⚠️ El proveedor proporciona instrucciones generales; los detalles del procesamiento a nivel de su caso de uso no se revelan ✅ Control y visibilidad total: qué sucede con cada consulta desde la recepción hasta la respuesta
Supervisión humana (art. 14) ⚠️ Limitado por las capacidades de la API; el proveedor puede cambiar el comportamiento del modelo sin su conocimiento ✅ Control total: versión del modelo, prompt del sistema, límites — todo está en sus manos
Registro de consultas (art. 12) ⚠️ El proveedor mantiene registros, pero el acceso a ellos es limitado, el período de retención lo determina el proveedor ✅ Todos los registros en su servidor: acceso completo, usted determina el período de retención
Estabilidad del sistema para auditoría ⚠️ El proveedor puede actualizar el modelo sin previo aviso; la documentación queda obsoleta ✅ Usted controla la versión del modelo; el sistema permanece fijo hasta su decisión de actualizar
GDPR art. 9 — categorías especiales de datos (médicos, abogados) ❌ El riesgo de la Ley CLOUD no se elimina con un DPA; para datos médicos y de abogados, es una vulnerabilidad legal ✅ Los datos nunca abandonan su servidor en la UE; la Ley CLOUD no es aplicable arquitectónicamente
Cadena de responsabilidad (art. 26) ⚠️ Compleja: desarrollador del modelo → proveedor de SaaS → usted como desplegador ✅ Simple: usted como desplegador y operador de su propio sistema

Advertencia honesta: autoalojado no significa cumplimiento automático de la Ley de IA. Usted todavía debe: informar explícitamente a los usuarios sobre la interacción con la IA (artículo 50), mantener un registro de consultas, documentar su sistema y —si su caso de uso es de alto riesgo— cumplir con la lista completa de requisitos de los artículos 9-15. Autoalojado le proporciona las herramientas para cumplir estos requisitos y elimina las barreras estructurales que surgen al tratar con proveedores en la nube. Pero la arquitectura por sí sola no es suficiente — se necesitan procesos documentados, responsables designados y una revisión regular del sistema.

Más información sobre los riesgos de fuga de datos a través de servicios de IA y cómo verificarlos — en el artículo 6 riesgos de fuga de datos a través de IA en negocios.

Lista de verificación: qué revisar en su sistema antes de agosto de 2026

Quedan menos de 100 días para el 2 de agosto de 2026. Esto es lo que necesita revisar ahora, independientemente del sistema de IA que utilice.

Pregunta Si "sí" Si "no" — acción
¿Sabe a qué categoría de riesgo de la Ley de IA pertenece su sistema? ✅ Continuar Utilice el Verificador de Cumplimiento en artificialintelligenceact.eu
¿Su chat de IA informa a los usuarios que están interactuando con IA? ✅ Art. 50 cumplido Añada una notificación explícita antes del 02.08.2026
¿Sabe dónde se almacenan físicamente los datos que procesa su servicio de IA? ✅ Documentar Solicite al proveedor una confirmación de la ubicación de los servidores y un DPA
¿Tiene un DPA (Acuerdo de Procesamiento de Datos) con el proveedor de IA? ✅ Mantener actualizado Firmar un DPA — sin él, el procesamiento de datos es ilegal según el GDPR
¿Sus empleados que utilizan IA han recibido formación básica (alfabetización en IA)? ✅ Art. 4 cumplido Obligatorio a partir del 02.02.2025 — impartir formación y documentarla
¿Mantiene un registro de consultas de IA (log) para auditoría? ✅ Mantener al menos 6 meses Configurar el registro — es obligatorio para sistemas de alto riesgo (art. 12)
Si tiene un sistema de alto riesgo, ¿existe documentación técnica del sistema? ✅ Art. 11 cumplido Prepare la documentación antes del 02.08.2026 — sin ella, el sistema no puede funcionar legalmente
Si tiene un sistema de alto riesgo, ¿existe un procedimiento de supervisión humana? ✅ Art. 14 cumplido Documente quién y cómo controla las decisiones de IA y puede revocarlas

Sobre la preparación de documentos para sistemas de IA — en el artículo Cómo preparar documentos para un asistente de IA: qué cargar y qué no.

Preguntas frecuentes

¿Se aplica la Ley de IA a las pequeñas y medianas empresas (PYMES)?

Sí, pero con un enfoque proporcional a las multas. Para las PYMES y startups, la multa se calcula como la menor de dos cantidades (una suma fija o un porcentaje del volumen de negocios). Es decir, para una empresa con una facturación anual de 500.000 € la multa máxima de primer nivel es de 35.000 € (7% de la facturación), no 35 millones de €. Pero las obligaciones de transparencia (artículo 50) y prohibición (artículo 5) son las mismas para todos, independientemente del tamaño.

¿El chat de IA en el sitio web de una clínica está sujeto a la Ley de IA?

Sí, como mínimo a los requisitos de transparencia de nivel 3 (artículo 50). A partir del 2 de agosto de 2026, el chat debe informar explícitamente a los pacientes que están interactuando con IA. Si el chat solo responde preguntas informativas de los protocolos de la clínica, es un riesgo limitado. Si ayuda en el diagnóstico o triaje, es potencialmente de alto riesgo con el conjunto completo de requisitos.

¿Es suficiente firmar un DPA con el proveedor de IA para cumplir con la Ley de IA?

El DPA (Acuerdo de Procesamiento de Datos) es obligatorio para el GDPR, pero no es suficiente para el cumplimiento total de la Ley de IA. La Ley de IA exige además transparencia del sistema, registro, supervisión humana y —para sistemas de alto riesgo— documentación técnica y registro. El DPA resuelve la cuestión de "dónde y cómo se almacenan los datos", pero no resuelve la cuestión del control sobre el sistema de IA y la auditabilidad.

¿Qué es una Evaluación de Impacto de Transferencia (TIA) y cuándo se necesita?

Un TIA es una evaluación del impacto de la transferencia de datos a un tercer país (por ejemplo, EE. UU.) que exige el GDPR tras la sentencia Schrems II (2020). Si su proveedor de IA es una empresa estadounidense y procesa los datos de sus clientes o pacientes en servidores fuera de la UE, un TIA es obligatorio. Incluso si los servidores están físicamente en la UE pero el proveedor es estadounidense, se recomienda un TIA debido al riesgo de la Ley CLOUD.

¿Quiere verificar si su sistema de IA cumple con los requisitos de la Ley de IA?

En AskYourDocs, construimos asistentes de IA autoalojados sobre documentos para PYMES, centros médicos y bufetes de abogados — con implementación en un servidor en la UE (Hetzner DE/FI u OVH FR) y una arquitectura que cumple con los requisitos del GDPR y la Ley de IA.

Envíenos 2-3 de sus documentos reales. En 30 minutos, le mostraremos una demostración en vivo y analizaremos a qué categoría de riesgo de la Ley de IA pertenece su caso de uso y qué se necesita específicamente para el cumplimiento.

Escribir por Telegram →

Implementación llave en mano en 5-7 días. Desde 500 $. Servidor en la UE. Sin equipo de TI de su lado.


Fuentes: