// guía del ai act

El AI Act de la UE,
en términos claros.

La primera regulación integral de IA del mundo entra en vigor para los equipos europeos el 2 de agosto de 2026. Esto es lo que exige — y cómo estar preparado desde la arquitectura, no a la carrera.

29 días para la aplicación 2 de agosto de 2026

// la ley

Un reglamento basado en riesgo para la IA en Europa.

El AI Act regula la IA por lo arriesgado del uso, no por la tecnología en sí. Aplica a cualquiera que ponga un sistema de IA en el mercado de la UE o use uno dentro de ella — incluidas empresas que solo integran modelos de terceros.

Si el equipo pone IA en producción para usuarios europeos, la pregunta ya no es si el Act aplica — es qué obligaciones conlleva, y si el stack puede cumplirlas.

// timeline

Cómo se despliega.

El Act entra por fases a lo largo de tres años. La fecha que importa para la mayoría de empresas es la siguiente.

  1. Ago 1, 2024
    En vigor

    El AI Act de la UE entra en vigor.

  2. Feb 2, 2025
    Aplican las prohibiciones

    Las prácticas de IA prohibidas pasan a ser ilegales en toda la UE.

  3. Ago 2, 2025
    Reglas GPAI

    Empiezan las obligaciones para modelos de IA de propósito general.

  4. Ago 2, 2026
    Aplicación principalestás aquí →

    El grueso de las obligaciones — sistemas de alto riesgo, transparencia y gobernanza — pasa a ser exigible.

  5. Ago 2, 2027
    Alto riesgo integrado

    Las reglas para IA integrada en productos regulados surten pleno efecto.

// niveles de riesgo

Cuatro niveles de riesgo.

Las obligaciones dependen por completo del nivel en el que cae el uso de la IA. La mayoría del tooling enterprise cae en los dos del medio.

Inaceptable

Prohibido

Scoring social, sistemas manipulativos o explotadores. Prohibidos de plano desde febrero de 2025.

Alto riesgo

Obligaciones estrictas

IA en contratación, crédito, salud, infraestructura crítica o justicia. Gestión de riesgos, gobernanza del dato, logging, supervisión humana y documentación.

Riesgo limitado

Transparencia

Chatbots y sistemas generativos. Hay que avisar a los usuarios de que interactúan con IA, y etiquetar el contenido generado por IA.

Riesgo mínimo

Sin obligaciones

Filtros de spam, recomendación, la mayoría del tooling interno. Uso libre, con códigos de conducta voluntarios.

// sanciones

El coste de equivocarse.

Las multas se escalan por gravedad y se calculan sobre la facturación global — lo que sea mayor. Están diseñadas para tener impacto a nivel de consejo.

35M€ / 7% Prácticas de IA prohibidas
15M€ / 3% Incumplir obligaciones de alto riesgo, transparencia o GPAI
7,5M€ / 1% Dar información incorrecta a las autoridades

Las cifras son la mayor entre el importe fijo o el porcentaje de la facturación anual global.

// obligaciones

Lo que hay que demostrar.

Para la mayoría de equipos con IA en producción, el compliance se reduce a un puñado de cosas que hay que poder demostrar.

Saber dónde se procesa el dato

Poder demostrar que la inferencia se ejecuta en la UE — no en un hyperscaler sujeto al Cloud Act.

Sin entrenamiento silencioso con datos de cliente

Prompts y salidas no deben alimentar un set de entrenamiento de terceros sin base legal.

Registros y trazabilidad

Mantener un rastro auditable de qué sistema procesó qué y dónde se ejecutó.

Transparencia con los usuarios

Declarar las interacciones con IA y etiquetar el contenido generado.

Supervisión humana

Mantener a una persona en el bucle para decisiones con riesgo real.

Gobernanza del dato

Controlar la base legal, la calidad y la residencia de los datos que se procesan.

// compliant desde la arquitectura

Donde Helmcode elimina el trabajo.

No clasificamos sistemas ajenos — pero los requisitos más difíciles y estructurales se resuelven en el momento en que la inferencia corre en Helmcode.

Residencia del dato en la UE

La inferencia se procesa exclusivamente en infraestructura de la UE — nunca en un hyperscaler estadounidense.

Sin entrenar con datos de cliente

Sin logs: prompts y completions no se almacenan y no entrenan ningún modelo.

Trazabilidad

Un único stack auditable con flujos de datos documentados y lista de sub-procesadores.

Soberanía

Propiedad y operación europea — fuera del alcance del Cloud Act.

Ver el posture de compliance completo

// faq del ai act

El AI Act, respondido.

Las preguntas que hacen los equipos europeos según se acerca la fecha límite.

¿Aplica el AI Act si solo se usa IA?

Muy probablemente. El Act cubre a proveedores y desplegadores de sistemas de IA puestos en el mercado de la UE o usados dentro de ella — incluidas empresas que solo integran modelos de terceros. Las obligaciones escalan con el nivel de riesgo del uso que se da a la IA.

¿Qué cambia exactamente el 2 de agosto de 2026?

El grueso de las obligaciones pasa a ser exigible: requisitos para sistemas de alto riesgo, deberes de transparencia, gobernanza y el régimen de supervisión y sanción. Las prácticas prohibidas y las reglas GPAI ya aplican desde fechas anteriores.

¿Cómo de duras son las sanciones?

Hasta 35M€ o el 7% de la facturación anual global por prácticas prohibidas, y 15M€ o el 3% por incumplir otras obligaciones — lo que sea mayor. Están diseñadas para tener impacto a nivel de consejo.

¿Cómo ayuda Helmcode a cumplir?

Eliminando las partes más difíciles desde la arquitectura: procesamiento solo en la UE, sin logs, sin entrenamiento con datos de cliente y un stack auditable. El alineamiento viene de la arquitectura, no de la configuración. Consulta Seguridad y Compliance para el detalle completo.

¿Esta página es asesoría legal?

No. Es una visión informativa para dimensionar el trabajo. Para obligaciones específicas y clasificación de riesgo, se recomienda consultar a un asesor legal cualificado.

// empezar

EMPIEZA A QUEMAR TOKENS

Olvídate de la infra de IA. Despliega hoy el primer endpoint de inferencia privada.

Tarifa plana. Datos en la UE. Compatible con la API de OpenAI.