AI Act, entre el éxodo y la oportunidad

Dos patrones conviven en el mercado europeo de IA durante abril de 2026. Por un lado, plataformas de alto impacto con arquitecturas diseñadas exclusivamente para el mercado estadounidense anuncian su salida o bloquean su expansión en la Unión Europea. Por otro, empresas europeas y extranjeras con cumplimiento regulatorio integrado desde el diseño cierran rondas de inversión históricas y consolidan contratos con gobiernos y sectores regulados. La Ley de IA actúa simultáneamente como barrera de entrada para los primeros y como ventaja competitiva para los segundos. La decisión estratégica que corresponde a un CIO en este momento es identificar en cuál de los dos grupos está posicionado cada proveedor de su cartera tecnológica.

OpenEvidence: el síntoma

La salida de OpenEvidence del mercado europeo ha puesto sobre la mesa un debate regulatorio que lleva en el aire mucho tiempo ya. Julián Isla, experto en IA y salud con más de quince años de trayectoria en defensa del paciente y actualmente Data and Artificial Intelligence Resource Manager en Microsoft, publicó en LinkedIn un post muy interesante. OpenEvidence es, desde enero de 2026, la plataforma de IA médica más valiosa del mundo, con 12.000 millones de dólares de valoración tras su ronda Serie D liderada por Thrive Capital y DST Global, y opera con más de 18 millones de consultas clínicas mensuales en Estados Unidos. Su sistema de verificación de usuarios requiere un NPI (National Provider Identifier), el número de identificación exclusivo para médicos estadounidenses. Los médicos europeos no tienen NPI. La plataforma se construyó para el mercado americano desde sus cimientos. La salida de Europa responde a una decisión de arquitectura de producto, no a una respuesta al marco regulatorio europeo pero en el mensaje que aparece al acceder a la página desde Europa o UK OpenEvidence anuncia que no está disponible en la UE ni en el Reino Unido debido a la incertidumbre regulatoria (especialmente por la Ley de IA), e invita a los usuarios a quejarse ante los legisladores europeos.

Pero la cruda realidad, tal y como también apuntaba Isla, es que un sistema de IA médica con aspiraciones de operar en la Unión Europea enfrenta un conjunto de obligaciones que preceden a la propia Ley de IA: el RGPD en lo relativo al tratamiento de datos de salud como categoría especial (Artículo 9), el Reglamento de Dispositivos Médicos MDR 2017/745 para los sistemas de apoyo a la decisión clínica, la Directiva NIS2 para la resiliencia de infraestructuras críticas y, en España, el Esquema Nacional de Seguridad para cualquier sistema que interactúe con el Sistema Nacional de Salud. El AI Act es la última capa, no la primera. Una plataforma de IA médica que no supera ese filtro previo acumula déficit técnico en seguridad, no solo incumplimiento regulatorio futuro. Bajo cualquier marco de gobierno responsable, COBIT 2019 o ITIL 4, aceptar que un sistema de decisión clínica opere sin transparencia en el entrenamiento, sin trazabilidad de inferencias y sin evaluación de conformidad documentada queda fuera del estándar mínimo exigible. La pregunta que todo CIO de un hospital o aseguradora europea debe trasladar a su proveedor es si la arquitectura del sistema fue diseñada con estos requerimientos en el plano inicial o se está adaptando como respuesta reactiva a la presión regulatoria.

Meta y Apple marcan la pauta

La posición de OpenEvidence en Europa no es un caso aislado en el último año y medio. En julio de 2024, Meta decidió no lanzar su modelo multimodal Llama en la Unión Europea, argumentando incertidumbre regulatoria en la intersección entre el RGPD y el AI Act. Apple retrasó el despliegue de Apple Intelligence en territorio europeo por razones equivalentes. En respuesta a esa presión acumulada, la industria organizó la Coalición CODE (Coalición para Ecosistemas Digitales Abiertos), que desde finales de 2023 presiona a Bruselas (junto con otras muchas tecnológicas americanas) para flexibilizar el entorno regulatorio. En paralelo, una encuesta entre más de cien startups de IA de fuera de la unión constató que el 16% evaluaba discontinuar su actividad o reubicarla fuera de la UE y que el 50% identificaba la regulación como freno a su ritmo de innovación. Una cifra que no es enorme pero la situación sí es preocupante porque dentro de ese 16% puede que estén precisamente algunas de las startups más innovadoras.

La narrativa del éxodo tiene matices. La Comisión Europea publicó en noviembre de 2025 el denominado Digital Omnibus, un paquete legislativo que propone extender algunos plazos de cumplimiento para sistemas del Anexo III hasta diciembre de 2027 y simplificar requisitos para pymes. El Parlamento Europeo votó en marzo de 2026 a favor de ese enfoque más gradual. Al mismo tiempo, el 21 de abril de 2026 la Comisión puso a disposición 63,2 millones de euros específicamente para apoyar la innovación en IA aplicada a la salud y la seguridad en línea. La regulación y el estímulo conviven en el mismo calendario para intentar que la primera no sea un freno a la innovación y sobre todo suponga una desventaja competitiva para las empresas del viejo continente.

Y por supuesto expertos y directivos españoles tienen su opinión al respecto. El debate sobre si el cumplimiento normativo es un lastre o un valor añadido ha sido un eje central en las entrevistas recientes de MuyComputerPRO. Mientras que figuras como Verónica Arteaga, de Softtek, defienden que la regulación no es inherentemente mala y que otorga al usuario una capacidad de elección esencial para la ética digital, otros líderes técnicos como Juan José Vázquez, de Legalitas, subrayan que soluciones como su agente «Álex» ya operan «tomando el pulso legal» para garantizar seguridad jurídica en tiempo real. Esta necesidad de anticiparse al «muro» regulatorio es lo que ha llevado a consultoras como Minsait a lanzar iniciativas como AI ACTion, destinadas a transformar la obligación legal en una variable de decisión operativa.

Agosto 2026: el muro real que se acerca inexorablemente

La urgencia concreta del debate tiene fecha: el 2 de agosto de 2026, en algo menos de cien días, se activan las obligaciones plenas para los Sistemas de Alto Riesgo bajo el AI Act, categoría que incluye de forma inequívoca los sistemas de IA médica y de apoyo a la decisión clínica. Esas obligaciones requieren evaluación de conformidad documentada, registro en la base de datos europea de sistemas de IA de alto riesgo, implementación de supervisión humana demostrable y trazabilidad completa del ciclo de datos. El calendario previo acumula tres hitos ya consumados: las prácticas prohibidas y la alfabetización en IA entraron en vigor en febrero de 2025; las obligaciones para modelos de IA de propósito general (GPAI), incluidos los grandes modelos de lenguaje, lo hicieron en agosto de 2025; y en abril de 2026 la Comisión publicó las guías de cumplimiento para operadores.

Los costes de adaptación son el argumento más concreto contra la regulación. Según las estimaciones del proceso de impacto de la propia Comisión, una empresa de entre 100 y 250 empleados que opere un sistema de alto riesgo necesita entre 193.000 y 330.000 euros de inversión inicial para establecer un Sistema de Gestión de Calidad conforme, más entre 71.400 y 150.000 euros anuales en monitorización y evaluaciones de conformidad. Para una startup en fase seed, esa estructura de costes es incompatible con el ritmo habitual de consumo de capital. Para una gran corporación con equipo legal ya operativo por el RGPD, es una capa adicional asumible. El AI Act no crea esa asimetría, pero la amplifica.

La oportunidad del mercado regulado

La salida de operadores que no cumplen abre un hueco de mercado concreto y creciente para los que sí cumplen. El movimiento más relevante de los últimos días lo protagonizaron Cohere y Aleph Alpha: el 24 de abril de 2026, ambas compañías anunciaron su fusión respaldada por una inversión de 600 millones de dólares comprometidos por Schwarz Group. Aleph Alpha, fundada en Heidelberg en 2019, construyó su posición de mercado sobre soberanía de datos y cumplimiento regulatorio en sectores regulados: sanidad, finanzas, administración pública. Entre sus clientes figuran el Ministerio de Asuntos Digitales de Alemania y el gobierno del estado de Baden-Württemberg. Ilhan Scheer, co-CEO de Aleph Alpha, enmarcó la operación con precisión estratégica: la compañía resultante se posiciona como alternativa independiente para las organizaciones que se niegan a externalizar el control de su IA a un único proveedor o jurisdicción extranjera. La operación traslada a Cohere acceso directo al mayor mercado europeo y una cartera de contratos públicos que exigen infraestructura local y auditoría regulatoria.

Mistral AI lleva dos años siendo el caso de referencia sobre cómo integrar cumplimiento regulatorio como característica de producto. Con más de 6.200 millones de euros en financiación total, la compañía francesa construyó sus modelos de lenguaje de código abierto con trazabilidad desde el entrenamiento, una decisión de arquitectura que hoy le genera acceso preferencial a licitaciones públicas y contratos enterprise en toda la UE. En su propio documento de política de abril de 2026, Mistral señala que Europa solo representa el 5% del capital riesgo global, una cifra que convive con el hecho de que la compañía ha cerrado rondas en condiciones comparables a las de los grandes laboratorios americanos.

El mercado de salud digital europeo concentra oportunidades sectoriales específicas. Waiv, startup francesa de IA para oncología de precisión, spinout de Owkin, cerró en marzo de 2026 una ronda de 33 millones de dólares con cumplimiento MDR y marcado CE-IVDR integrado desde el diseño. En defensa e infraestructura crítica, Helsing captó 600 millones de euros en 2025 sobre una arquitectura diseñada para operar en entornos de máxima exigencia regulatoria. ElevenLabs, con sede en Londres, alcanzó una valoración de 11.000 millones de dólares en febrero de 2026 tras captar 500 millones de dólares con Sequoia a la cabeza, con adopción enterprise activa en Deutsche Telekom, Revolut y Meta. Nscale cerró 2.000 millones de dólares para infraestructura de cómputo de IA en centros de datos europeos, con una valoración de 14.600 millones.

Las startups europeas de IA captaron un total de 21.600 millones de dólares en 2025, cifra récord según Dealroom, con un perfil de inversión que gira progresivamente hacia compañías con credenciales regulatorias verificables. En España, Multiverse Computing avanza en IA cuántica con acuerdos con el sector financiero y energético bajo el paraguas regulatorio europeo. El cambio de comportamiento en los procesos de compra empresarial confirma esa tendencia. Según el análisis del mercado de fusiones y adquisiciones del primer trimestre de 2026, los procesos de due diligence en transacciones con exposición a IA exigen ya, como condición previa a la oferta, documentación técnica de clasificación de riesgo bajo el AI Act, declaraciones de supervisión humana y divulgaciones de cumplimiento bajo CSRD. El cumplimiento regulatorio ha dejado de ser un coste de acceso al mercado para convertirse en un criterio activo de valoración en operaciones corporativas.

¿Regulación asfixiante o irresponsabilidad?

Europa afronta un riesgo cuantificable: la ausencia de plataformas de IA médica punteras, desarrolladas mayoritariamente en Estados Unidos, que podrían mejorar diagnósticos y optimizar decisiones clínicas. Al mismo tiempo, el acceso sin filtros de sistemas de IA que no satisfacen los estándares mínimos de seguridad, protección de datos sanitarios y explicabilidad traslada ese riesgo directamente a los pacientes. Los reguladores que diseñaron el AI Act partieron de esa ecuación. La Comisión invierte 63,2 millones de euros en innovación de IA para la salud en la misma semana en que se aproxima el muro de agosto. Ese capital fluye hacia las empresas que han decidido operar en Europa con sus reglas, no hacia las que han decidido salir.

Si los sistemas de IA que se retiran del mercado europeo no pueden satisfacer los requisitos de transparencia algorítmica, trazabilidad de datos y supervisión humana que la regulación exige, la pregunta relevante para el CIO no es si la regulación resulta excesiva. La pregunta es si esos sistemas deberían haber operado con datos sanitarios europeos en primera instancia. Estamos hablando de un sector como el de la salud en el que en primer lugar los datos tienen que estar escrupulosamente protegidos por razones evidentes pero por otro lado tampoco nos podemos permitir perder el control sobre qué tipo de razonamientos siguen estas herramientas para asistir a los facultativos. Las alucinaciones o decisiones sesgadas pueden llevas a consecuencias catastróficas. Y esta reflexión, por supuesto, trasciende este sector.

Hoja de Ruta para el CIO

Los equipos directivos de tecnología en organizaciones sanitarias y del ecosistema de salud digital europeo tienen un margen operativo concreto antes de agosto de 2026. El primer paso obligatorio es completar el inventario de sistemas de IA en producción o en evaluación, clasificarlos según los niveles de riesgo del AI Act y mapear su intersección con RGPD, MDR y NIS2, antes de que ese trabajo lo realice un auditor externo bajo presión regulatoria. El segundo es convertir los requerimientos de cumplimiento del AI Act en criterios contractuales con los proveedores actuales: cualquier proveedor que no pueda presentar una hoja de ruta de conformidad verificable para agosto de 2026 representa un riesgo de continuidad operativa, no solo un riesgo legal. El tercero, y el que genera más valor estratégico a largo plazo, es evaluar el ecosistema de alternativas con cumplimiento nativo, desde Aleph Alpha y Mistral AI en modelos de lenguaje hasta plataformas certificadas bajo el sandbox regulatorio de la AESIA en España, como palancas de diferenciación en licitaciones públicas y contratos enterprise que ya exigen ese perfil regulatorio como condición de entrada.