EU AI Act Art. 26 e IA Local: Checklist para Operadores 2026

Con el 2 de agosto de 2026 a la vuelta de la esquina, los debates sobre cumplimiento del Reglamento de Inteligencia Artificial de la UE se intensifican en X y en los círculos jurídicos europeos. Rémy Schlich resumió en X la clave del momento: "EU lawmakers have agreed to delay key obligations for high-risk AI systems under the EU AI Act", con un nuevo calendario que se extiende hasta 2027–2028 para los requisitos más exigentes. Es cierto — pero el matiz importa enormemente: el retraso afecta exclusivamente a los sistemas de IA de alto riesgo del Anexo III, no a las obligaciones generales que entran en vigor en agosto de 2026.

Si tu empresa opera un LLM local para búsqueda documental, asistentes internos o resúmenes de reuniones, esta distinción lo cambia todo. Según nuestra interpretación del Reglamento de IA de la UE, la mayoría de estos casos de uso no activan el Artículo 26 en absoluto.

Qué dice el Artículo 26 y a quién afecta

El Artículo 26 del Reglamento de IA de la UE establece obligaciones para los operadores (deployers) de sistemas de IA de alto riesgo. Un operador es cualquier empresa u organización que utiliza un sistema de IA en sus propios procesos, no el proveedor que lo desarrolla.

El punto clave: el Artículo 26 solo se activa si el sistema desplegado está clasificado como IA de alto riesgo conforme al Anexo III del Reglamento. Si tu aplicación no cae dentro de ese anexo, el Artículo 26 no te aplica. En ese caso, las obligaciones se limitan a los requisitos de transparencia del Artículo 50, considerablemente más ligeros.

La clasificación es, por tanto, el primer paso — y el más importante.

Las categorías de alto riesgo del Anexo III

Según nuestra interpretación, el Anexo III define ocho ámbitos de alto riesgo:

1. Identificación biométrica — reconocimiento facial, análisis de emociones, categorización por características sensibles
2. Infraestructuras críticas — sistemas de gestión de energía, agua o transporte
3. Educación y formación — decisiones automatizadas de admisión, evaluación o clasificación de estudiantes
4. Empleo — selección de personal, evaluación del desempeño, decisiones de promoción o despido
5. Servicios esenciales — solvencia crediticia, evaluación de riesgos de seguros, elegibilidad para prestaciones sociales
6. Aplicación de la ley — perfilado de riesgo de personas, detección de emociones en investigaciones
7. Migración y asilo — clasificación de riesgo o tramitación de solicitudes
8. Administración de justicia — apoyo a decisiones judiciales o administrativas

Para la gran mayoría de las PYMES que utilizan LLMs locales como herramientas de productividad interna, ninguno de estos puntos resulta aplicable. Un modelo como Llama 3.3 o Qwen2.5 que responde preguntas de empleados, redacta correos o busca documentos no constituye, según nuestra interpretación, un sistema de alto riesgo conforme al Anexo III.

Test práctico: cinco escenarios habituales en PYMES españolas

Escenario 1: Asistente interno de conocimiento

Una empresa de servicios en Barcelona opera un modelo Mistral local que responde preguntas de empleados sobre procedimientos internos y normativa laboral. Clasificación: no es alto riesgo. El Artículo 26 no aplica.

Escenario 2: Búsqueda documental con RAG

Una asesoría en Madrid utiliza embeddings locales con Qwen2.5 para buscar entre contratos y documentos de clientes. Los asesores revisan siempre los resultados antes de actuar. Clasificación: no es alto riesgo. La decisión la toma el profesional.

Escenario 3: Cribado automatizado de candidaturas

Un departamento de RRHH usa un modelo local que puntúa y clasifica CVs, generando automáticamente propuestas de descarte. Clasificación: alto riesgo (Anexo III §4 — empleo). El Artículo 26 aplica en su totalidad.

Escenario 4: Evaluación crediticia

Una entidad financiera emplea un modelo alojado localmente para generar evaluaciones de solvencia de solicitantes de préstamos. Clasificación: alto riesgo (Anexo III §5 — servicios esenciales). El Artículo 26 aplica en su totalidad.

Escenario 5: Sistema de recomendación en compras

Un departamento de compras usa un LLM local para evaluar ofertas de proveedores y establecer una clasificación. Clasificación: depende de la implementación. Si un profesional revisa todas las recomendaciones antes de tomar la decisión, probablemente no es alto riesgo. Si la clasificación del sistema determina directamente los contratos sin revisión humana significativa, la clasificación es discutible. Se recomienda asesoramiento jurídico.

La checklist del Artículo 26 para operadores de IA de alto riesgo

Para las organizaciones cuyo despliegue local sí cae bajo el Anexo III, el Artículo 26 establece, según nuestra interpretación, las siguientes obligaciones principales:

☐ Respetar las instrucciones de uso del proveedor (Art. 26.1) Utilizar el sistema únicamente para el propósito documentado. Conservar por escrito la descripción del caso de uso y cualquier desviación respecto a las instrucciones del proveedor.

☐ Implementar supervisión humana (Art. 26.2) Garantizar que una persona física pueda revisar y corregir los resultados del sistema antes de que surtan efecto. La persona responsable debe tener capacidad real para hacer un juicio informado sobre el resultado.

☐ Supervisar el funcionamiento y mantener registros (Art. 26.5) Monitorizar el sistema durante su operación. Activar las funcionalidades de registro automático cuando estén disponibles. Conservar los registros durante al menos seis meses. Con sistemas locales, esta infraestructura está completamente bajo tu control.

☐ Notificar incidentes graves al proveedor (Art. 26.5) Comunicar de inmediato al proveedor del sistema todo incidente grave o mal funcionamiento que afecte a derechos fundamentales o a la seguridad. Si el incidente tiene implicaciones para la seguridad pública, notificar también a la autoridad supervisora nacional (España: AESIA — Agencia Española de Supervisión de la Inteligencia Artificial).

☐ Realizar una Evaluación de Impacto sobre Derechos Fundamentales donde corresponda (Art. 26.9) Obligatoria para ciertos organismos públicos y entidades privadas que presten servicios esenciales (crédito, seguros) antes de poner en marcha un sistema de IA de alto riesgo. Documentar los resultados por escrito.

☐ Verificar el registro en la base de datos de la UE Determinados sistemas de IA de alto riesgo deben registrarse en la base de datos del Reglamento de IA de la UE. Clarificar con el proveedor si le corresponde a él o al operador esta gestión.

Calendario actualizado: el efecto del Omnibus Digital de mayo de 2026

El acuerdo político del 7 de mayo de 2026 entre el Consejo de la UE y el Parlamento Europeo — parte del paquete Omnibus Digital — revisó el calendario de aplicación de la IA de alto riesgo. Según nuestra interpretación:

Para PYMES que únicamente despliegan asistentes de propósito general, las obligaciones de agosto de 2026 son manejables: documentar el uso de IA, acreditar la competencia del personal (Art. 4) y aplicar transparencia básica en los casos en que la IA interactúe con usuarios o genere resultados de relevancia.

Las obligaciones más exigentes del Artículo 26 — registros, supervisión, notificación de incidentes — solo afectan a despliegues del Anexo III, y esas organizaciones ahora tienen hasta diciembre de 2027.

Por qué la IA local facilita el cumplimiento del Artículo 26

Un aspecto que merece atención: para las organizaciones que sí despliegan IA de alto riesgo, operar con un LLM local es estructuralmente más sencillo de llevar a cumplimiento normativo que una solución basada en API en la nube.

Cuando se opera un modelo en las propias instalaciones — en un Mac Studio M3 Ultra, un servidor local o hardware dedicado — toda la infraestructura relevante para el cumplimiento está bajo control propio desde el primer día:

• Registros completos y propios: cada interacción queda en tus servidores, sujeta solo a tus políticas de retención, sin depender de las condiciones de uso de un proveedor cloud.
• Puntos de control configurables: se pueden implementar pasos de aprobación humana directamente en el flujo de trabajo, con la infraestructura del modelo bajo control propio.
• Aislamiento total de datos: ningún dato de consulta, ninguna salida del modelo y ningún dato de entrenamiento cruza redes externas — directamente relevante para el RGPD Art. 25 (privacidad desde el diseño).

Más sobre cómo la IA local refuerza tu posición en materia de protección de datos: soberanía del dato con IA local.

Si tu empresa opera en España y estás evaluando subvenciones disponibles para proyectos de IA local, el programa Kit Digital puede cubrir parte de la inversión en infraestructura y consultoría de cumplimiento.

El kit de herramientas kAIra incluye un flujo de clasificación del Anexo III preconfigurado que genera un registro documental de auditoría — diseñado para que las PYMES puedan responder por escrito a la pregunta «¿es esto alto riesgo?» antes del despliegue.

Qué hacer ahora

Independientemente de si el Artículo 26 aplica o no a tu situación actual, los pasos a dar antes del 2 de agosto de 2026 son los mismos para todo operador:

1. Inventariar todas las herramientas de IA en uso — no solo las más visibles
2. Aplicar el test del Anexo III — ¿algún despliegue entra en las ocho categorías?
3. Documentar finalidad y alcance — descripción escrita de la función de cada sistema y el contexto de las decisiones que apoya
4. Acreditar competencia en IA del personal — el Art. 4 aplica a todo operador, independientemente de la clase de riesgo
5. Para despliegues de alto riesgo: empezar a construir la infraestructura del Artículo 26 ahora, con tiempo para estar listo en diciembre de 2027

Empieza con un proyecto piloto para clasificar, documentar y preparar tu stack de IA local antes de agosto de 2026. ¿Tienes dudas sobre tu caso concreto? Contáctanos.