La Ley de Inteligencia Artificial de la UE (EU AI Act) está en vigor desde agosto de 2024, pero su disposición más exigente para los operadores de sistemas de IA de alto riesgo —prevista inicialmente para agosto de 2026— está siendo aplazada. Observadores regulatorios en X informan que los legisladores de la UE han acordado aplazar obligaciones clave para sistemas de IA de alto riesgo, con el nuevo plazo extendiéndose hasta 2027–2028. Los motivos citados incluyen la complejidad de la implementación y la ausencia de estándares técnicos definitivos que los operadores y los organismos de evaluación de la conformidad necesitan para actuar.
Para las pymes, esto significa más tiempo. Pero la pregunta estratégica no es si aprovechar ese tiempo, sino cómo hacerlo.
Qué sigue en vigor y qué está cambiando
Según nuestra interpretación del panorama legislativo actual, lo siguiente permanece plenamente en vigor:
- Prácticas prohibidas (Art. 5, desde febrero de 2025): Las prohibiciones de vigilancia biométrica en tiempo real en espacios públicos, la puntuación social y determinadas técnicas manipuladoras siguen en pie y no se ven afectadas por ningún aplazamiento.
- Obligaciones GPAI (desde agosto de 2025): Los requisitos de transparencia y documentación para proveedores de modelos de IA de propósito general están vigentes, confirmados por las directrices publicadas por la Comisión Europea. Afectan principalmente a desarrolladores de modelos — los grandes laboratorios de IA — no a las pymes como operadoras.
- Obligaciones para operadores de sistemas de alto riesgo (Anexo III): Estaban previstas para agosto de 2026 en la mayoría de las categorías. Según los informes de observadores regulatorios en X, este calendario podría desplazarse hasta 2027–2028.
La conclusión práctica: las organizaciones que se preparaban para agosto de 2026 ganan margen. Las que aún no han comenzado no deben interpretar el aplazamiento como una autorización para seguir esperando — las evaluaciones de conformidad, los sistemas de gestión de riesgos y la documentación técnica requieren meses de preparación.
Qué pymes están expuestas a obligaciones de alto riesgo
Muchos responsables de pymes asumen que la IA de alto riesgo es un problema de grandes corporaciones. Vale la pena revisar esa suposición. El Anexo III de la Ley de IA incluye categorías habituales en el día a día de las pymes:
- IA en recursos humanos — cribado automatizado de currículums, herramientas de clasificación o puntuación de candidatos con IA
- IA en crédito y evaluación financiera — herramientas de scoring crediticio, incluyendo productos SaaS utilizados por fintechs y prestamistas de menor tamaño
- IA en infraestructuras críticas — sistemas de gestión de redes de energía, abastecimiento de agua o transporte
- IA en educación y formación profesional — evaluación automatizada de exámenes, procesos de admisión gestionados por IA
Una pyme que utiliza una herramienta SaaS de selección de personal que filtra o clasifica candidaturas probablemente opera un sistema de IA de alto riesgo bajo este marco. Cuando las obligaciones del Anexo III sean exigibles, esa pyme deberá contar con sistemas de gestión de riesgos documentados, documentación técnica, procesos de supervisión humana y evaluaciones de conformidad completadas.
En cambio, una pyme que ejecuta un LLM local para consultas internas de bases de conocimiento, resúmenes de documentos o apoyo en redacción generalmente queda fuera del ámbito del Anexo III, siempre que no se tomen decisiones automatizadas con impacto significativo sobre personas físicas. Sin decisión administrativa automatizada, sin efecto relevante sobre una persona: en la mayoría de los casos, sin clasificación de alto riesgo. Esta es una ventaja regulatoria estructural de la infraestructura de IA local, independiente del argumento de protección de datos.
Descubre qué pueden hacer los sistemas de IA local para tu empresa: /local-ai.html.
El Ómnibus Digital: qué se mueve en paralelo en Bruselas
Mientras el calendario de la Ley de IA se ajusta, otro paquete legislativo avanza en las instituciones europeas: el Ómnibus Digital. Comentaristas con expertise en regulación de la UE señalan en X que este paquete avanza hacia su aprobación formal, y que originalmente estaba diseñado para crear más margen para el desarrollo de IA dentro del RGPD — incluyendo reglas más flexibles para el procesamiento de datos de entrenamiento. Según nuestra interpretación, las propuestas iniciales se han debilitado considerablemente durante el proceso legislativo.
La conclusión práctica para las pymes: no contar con una relajación del RGPD para casos de uso de IA. La protección de datos sigue siendo la limitación más estricta, con independencia de lo que finalmente contenga el Ómnibus.
Por qué la IA en la nube sigue siendo estructuralmente arriesgada
El aplazamiento de la Ley de IA no toca el RGPD. Los LLMs en la nube alojados fuera de la UE — con independencia de los acuerdos contractuales — siguen sujetos a las leyes de sus jurisdicciones de origen, que en algunos casos permiten el acceso de las autoridades a los datos almacenados. Las decisiones de adecuación de la UE pueden revocarse políticamente; las cláusulas contractuales tipo no protegen frente a demandas de acceso extraterritorial.
Los LLMs locales, ejecutados en hardware propio dentro de la red de la empresa, eliminan estos riesgos de forma estructural: sin transferencia de datos, sin procesamiento por terceros, sin exposición a cambios en los acuerdos bilaterales de protección de datos. Para profundizar en qué significa la soberanía de datos en la práctica: /data-sovereignty.html.
Cuatro pasos que las pymes pueden dar ahora
Un plazo revisado es una oportunidad. Así es como aprovecharlo:
1. Crear un inventario de IA
¿Qué sistemas de IA están en uso? ¿Qué decisiones toman y con qué impacto sobre personas — empleados, candidatos, clientes o usuarios finales? Un inventario honesto es la base de cualquier postura de cumplimiento e identifica riesgos con independencia de los plazos regulatorios.
2. Verificar la aplicabilidad del Anexo III
¿Algún sistema del inventario cae en una categoría de alto riesgo? Si es así: las evaluaciones de conformidad y los sistemas de gestión de riesgos requieren un tiempo de preparación que se mide en meses, no en días. Empezar ahora significa llegar a 2027 preparado, no con prisas.
3. Migrar cargas de trabajo a infraestructura local
Los operadores de sistemas de IA local tienen ventajas estructurales para cumplir las obligaciones del operador: control total sobre la configuración del sistema, los registros y las pistas de auditoría. Las dependencias de la nube hacen que los requisitos de documentación y supervisión humana sean significativamente más difíciles y costosos de cumplir.
4. Comenzar a documentar hoy
Incluso para sistemas de IA que no son de alto riesgo: documenta qué modelo se ejecuta, dónde, para qué fin y con qué datos. En dieciocho meses, reconstruir esa información costará mucho más que crearla hoy. La buena documentación de gobernanza de IA es un activo duradero.
Si tu empresa puede acogerse a la subvención Kit Digital para financiar la implantación de IA local, puedes consultar cómo en /kit-digital.html.
Freshlab ayuda a las pymes a construir infraestructura LLM local que sea robusta desde el punto de vista regulatorio y escalable operativamente. Nuestro proyecto piloto ofrece un entorno de IA local funcional en seis semanas — sin nube, sin dependencia de proveedor, con capacidad de auditoría desde el primer día.
Conclusión
El aplazamiento de las obligaciones de alto riesgo de la Ley de IA de la UE hasta 2027–2028 da a las pymes más margen. No cambia el RGPD, y no cambia la lógica estratégica de construir infraestructura de IA local y soberana. Las organizaciones que aprovechen este tiempo para construir un inventario, detectar exposición de alto riesgo y migrar a infraestructura local estarán significativamente mejor posicionadas que quienes traten el aplazamiento como un permiso para seguir esperando.
¿Quieres saber cómo te afecta la Ley de IA de la UE? Contáctanos y te ayudamos a evaluar tu exposición e identificar los próximos pasos.