El Reglamento Europeo de Inteligencia Artificial (AI Act) entró en vigor en agosto de 2024, pero 2026 es el año en que las primeras obligaciones se vuelven exigibles para las PYMEs. Si tu empresa utiliza o desarrolla sistemas de IA — chatbots, modelos de lenguaje, asistentes automáticos, herramientas de selección de personal —, esto te afecta. Te explicamos qué debes hacer y cómo una infraestructura soberana puede ayudarte a cumplir.

EU AI Act 2026: resumen de clasificación de riesgos, obligaciones para empresas y plazos de cumplimiento del Reglamento Europeo de IA
▸ El AI Act establece un enfoque basado en el riesgo. Las empresas deben documentar sus sistemas de IA, garantizar transparencia y, en aplicaciones de alto riesgo, implantar supervisión humana. La infraestructura soberana facilita el cumplimiento.

¿Qué es el AI Act y por qué importa?

El AI Act es el primer marco legal global que regula la inteligencia artificial basándose en el riesgo. No trata toda la IA por igual: prohíbe usos inaceptables, impone requisitos estrictos para sistemas de alto riesgo, y establece obligaciones de transparencia para sistemas de riesgo limitado. Afecta tanto a proveedores de IA como a empresas que simplemente la usan (despliegue). Si tu empresa emplea ChatGPT para atender clientes, usas un algoritmo para filtrar currículums, o tienes un agente IA resolviendo consultas, entras dentro del ámbito.

¿Me afecta aunque use IA en la nube?

Sí, y más todavía. El AI Act exige trazabilidad y control de los datos. Si tu proveedor cloud (OpenAI, AWS, Google) no te garantiza que los modelos no se entrenan con tus datos, o no puedes auditar el proceso, la autoridad puede considerarlo incumplimiento. Por eso la IA on‑premise o en un CPD soberano es la forma más limpia de demostrar cumplimiento.

Clasificación de riesgos (y qué significa para tu empresa)

El Reglamento establece cuatro niveles, con obligaciones crecientes:

  • Riesgo inaceptable (prohibido): sistemas de «puntuación social» por gobiernos, reconocimiento de emociones en el trabajo o la escuela, web scraping masivo de rostros, etc. Si usas alguna de estas prácticas, estás fuera de la ley.
  • Alto riesgo: IA utilizada en infraestructuras críticas, educación, empleo (selección de personal), servicios financieros, migración y control de fronteras, administración de justicia. Aquí se exige un sistema de gestión de riesgos, datos de entrenamiento de alta calidad, supervisión humana y registro en una base de datos europea.
  • Riesgo limitado (transparencia): chatbots, sistemas de recomendación, generación de contenido (imágenes, textos). La obligación principal es informar al usuario de que está interactuando con una IA. Muchos usos empresariales caen aquí.
  • Riesgo mínimo o inexistente: videojuegos, filtros de spam, etc. Sin obligaciones adicionales.

La mayoría de las PYMEs que utilizan asistentes IA de propósito general (como ChatGPT) o agentes especializados estarán en riesgo limitado, pero si usan esos asistentes para tomar decisiones sobre personas (evaluar empleados, seleccionar clientes, diagnosticar) pueden escalar a alto riesgo.

Obligaciones prácticas para 2026

Si tu empresa despliega sistemas de IA (incluso si no los desarrollas tú), debes:

  • Documentar el uso de IA (qué sistema, con qué datos, para qué finalidad).
  • Informar a usuarios cuando interactúen con una IA (transparencia).
  • Si es alto riesgo: implantar un sistema de gestión de riesgos, garantizar datos de entrenamiento de calidad, supervisión humana, registro en la base de datos de la UE.
  • Si usas modelos de proveedores externos (OpenAI, Claude, etc.): debes asegurarte de que esos proveedores cumplen el AI Act. Si están fuera de la UE (todos los grandes), la carga probatoria recae sobre ti.

Las sanciones por incumplimiento pueden alcanzar los 35 millones de euros o el 7% de la facturación mundial, según la infracción. Incluyen multas para los representantes legales y exclusión de licitaciones públicas.

El problema de los modelos cloud americanos para el AI Act

Si usas ChatGPT Empresarial, Claude, Gemini o los LLMs de AWS Bedrock, te enfrentas a dos problemas:

  • Dificultad para auditar los datos de entrenamiento: el AI Act exige que los conjuntos de datos utilizados para entrenar modelos de alto riesgo sean representativos y estén libres de sesgos. Los proveedores cloud no te detallan con qué datos entrenaron su modelo.
  • Jurisdicción extraterritorial: aunque el AI Act se aplica a cualquier proveedor que ofrezca servicios en la UE, la ejecución contra empresas americanas es complicada. Sin embargo, el usuario final (tu empresa) es responsable si utilizas un sistema que no cumple. Te puede caer la multa a ti.
  • Transferencia de datos a terceros países: el AI Act prohíbe el uso de datos personales para entrenar modelos sin consentimiento explícito. Los hiperescalares suelen incluir cláusulas de mejora de modelos (training) por defecto. Debes desactivarlas por escrito, y aun así no garantizan que no se hayan usado datos de clientes antes.

La única forma de tener certeza es ejecutar modelos open source (Llama, Mistral, Gemma) en tu propia infraestructura on‑premise o en un centro de datos soberano como el CPD Muralla de Zamora. Así eres tú quien controla los datos de entrenamiento, las inferencias y la documentación de riesgos.

Por qué la IA on‑premise de TOWINIA es compatible con el AI Act

TOWINIA despliega agentes especializados sobre servidores bajo tu control (o en nuestro CPD con jurisdicción española). Esto te permite:

  • Demostrar documentación completa: con el agente LEZO puedes generar informes automáticos de conformidad del sistema, detallando qué datos utiliza, cómo se entrena y qué salvaguardas existen.
  • Aplicar supervisión humana real: todos los agentes de TOWINIA permiten un modo «humano al mando» para acciones críticas, exigido por el AI Act para sistemas de alto riesgo.
  • Garantizar que los datos de entrenamiento no contienen sesgos ilegales: al fine‑tunear con tus propios documentos, tienes control total sobre el origen y la limpieza de los datos.
  • Cumplir con el deber de transparencia: cada interacción con el agente puede ir precedida de un aviso claro («Estás hablando con un asistente IA»).

Además, la infraestructura de Zamora ya está alineada con el Esquema Nacional de Seguridad (ENS) y la futura certificación de conformidad con el AI Act que desarrollará ENAC.

¿Quieres evaluar si tu uso actual de IA cumple el AI Act?

Te ofrecemos un análisis gratuito de tus sistemas de IA (incluyendo ChatGPT si lo usas). Te indicamos el nivel de riesgo, los puntos de incumplimiento probable y un plan de migración a IA soberana. Escríbenos a ai‑act@tybsi.es con el asunto «Análisis AI Act».

Hoja de ruta para PYMEs en 2026

  1. Inventario de IAs utilizadas — cada chatbot, recomendador, modelo de análisis o automatización. Aunque sean gratuitos.
  2. Clasifica el riesgo según las categorías del AI Act. Si tienes dudas, una auditoría sencilla de 2 horas puede resolverlo.
  3. Elimina usos prohibidos (ej: IA para filtrar CVs sin supervisión humana).
  4. Para sistemas de alto riesgo: implanta un sistema de gestión de riesgos (puede ser adaptado de ISO 31000). El agente LEZO puede generar la documentación automáticamente.
  5. Para sistemas de riesgo limitado: añade información clara a los usuarios. Por ejemplo, un mensaje «Este chat utiliza inteligencia artificial» en tu web.
  6. Considera migrar tus modelos críticos a IA on‑premise con Towin Box o Towinia Cloud soberana para tener control documental.
  7. Documenta todo — el AI Act no perdona la falta de registros. Un agente IA puede hacerlo por ti, generando informes diarios de actividad y trazabilidad.

Casos concretos de clientes que ya han migrado

  • Asesoría fiscal con 15 empleados: usaban ChatGPT para redactar informes. Migraron a un Towin Box con un modelo fine‑tuneado con sus plantillas. Ahora tienen documentada la trazabilidad de cada informe, cumplen AI Act y RGPD, y además ahorran 700 €/mes en suscripciones.
  • Clínica dental con presencia web: utilizaban un chatbot cloud para reservas. El proveedor no garantizaba la procedencia de los datos de entrenamiento. Sustituyeron el chatbot por el agente de atención al cliente de TOWINIA, que corre en el CPD de Zamora. La clínica ahora puede acreditar que los pacientes son informados de que hablan con una IA y que ningún dato sale de España.
  • Planta de fabricación (OT): un agente de ciberseguridad GÁLVEZ les alertó de comportamiento anómalo en un PLC. El AI Act clasifica los sistemas que aseguran infraestructuras críticas como alto riesgo. Documentaron el proceso de supervisión humana (el agente avisó, un operario revisó y autorizó la acción) — exactamente lo que exige el reglamento.

El AI Act no es un enemigo, es una oportunidad para la soberanía digital

Muchas empresas ven el AI Act como una traba burocrática. En realidad, es una oportunidad para diferenciarte de los gigantes opacos. Usar IA open source y on‑premise, con datos limpios y reglas claras, te permite certificar que tu sistema es fiable, transparente y respetuoso con los derechos fundamentales. Los clientes, especialmente los europeos, van a valorarlo positivamente. Y los proveedores que no puedan demostrar cumplimiento quedarán fuera del mercado.

En TOWINIA y TYBSI llevamos años trabajando con modelos propios, soberanos y auditables. El AI Act nos encuentra completamente alineados. No hemos tenido que cambiar nada porque nuestra filosofía ya era la que pide el reglamento. Si necesitas una mano para adaptarte, estamos aquí.