Regulación
Tus flujos de trabajo con IA están a punto de ser regulados: el EU AI Act en lenguaje claro
22 abr 2026 · 9 min de lectura
Por Marcos Maceo, Fundador, OpSprint
Punto clave
Si tu IA afecta a residentes de la UE, estás dentro del alcance — sin importar dónde tengas tu sede. La fecha límite del 2 de agosto de 2026 llega en semanas y las sanciones alcanzan los €35M o el 7% de la facturación.
Qué cambia el 2 de agosto de 2026
El EU AI Act (Reglamento (UE) 2024/1689) ya está vigente — entró en vigor el 1 de agosto de 2024. Pero "vigente" y "aplicable" son dos cosas distintas, y aquí es donde la mayoría de los fundadores se confunden.
La Ley se implementa por fases. Desde el 2 de febrero de 2025, las prohibiciones del Artículo 5 entraron en vigor — lo que significa que ciertas prácticas de IA pasaron a ser ilegales en toda la UE sin periodo de gracia. Desde el 2 de agosto de 2025, las obligaciones para modelos de IA de propósito general (GPAI) bajo el Capítulo V también comenzaron a aplicarse. La gran fecha para la que la mayoría de las empresas debe prepararse es el 2 de agosto de 2026: ahí es cuando el marco completo — incluyendo todas las obligaciones para IA de alto riesgo bajo los Artículos 9 al 15 — se vuelve exigible para la mayor parte de los operadores.
Si hoy tienes flujos de trabajo con IA en producción, tienes semanas, no meses, para entender dónde estás parado. Empezar esa revisión después del 2 de agosto significa que ya estás en incumplimiento.
Quién está realmente dentro del alcance (incluyéndote a ti)
Lo más trascendental del EU AI Act no es lo que prohíbe — es a quién cubre. El Artículo 2 de la Ley establece un alcance extraterritorial con la misma lógica que el GDPR: si tu sistema de IA se usa en la UE, o su resultado afecta a personas en la UE, la regulación te aplica. La ubicación física de tu empresa es irrelevante.
Tres disparadores meten a un negocio no europeo dentro del alcance. Primero: tu sistema de IA se comercializa en el mercado de la UE — es decir, está disponible para clientes europeos. Segundo: el output de tu sistema de IA se usa en la UE, incluso si tu empresa y tus servidores están en Estados Unidos, Singapur o Dubái. Tercero: eres proveedor de un modelo de IA de propósito general que desarrolladores europeos integran en sus propios productos. Si alguno de estos aplica, estás dentro del alcance.
El paralelo con el GDPR es intencional e ilustrativo. Muchos fundadores estadounidenses aprendieron que "no tenemos oficinas en la UE" no era una defensa cuando el GDPR entró en vigor. El mismo razonamiento aplica aquí. Si una startup francesa usa tu herramienta de contratación con IA, o una agencia alemana corre tu flujo de lead scoring sobre datos de sus clientes europeos, estás sujeto a la Ley.
El Artículo 22 añade una obligación más para proveedores no europeos cuyos sistemas se usan en la UE: debes designar un Representante Autorizado establecido en la UE. Este representante es tu punto de contacto legal ante las autoridades de vigilancia de mercado de la UE. Piénsalo como el equivalente europeo de un agente registrado — es administrativo, pero no designar uno es, en sí mismo, una infracción de cumplimiento.
Las 4 categorías en lenguaje claro
Prácticas prohibidas (Artículo 5). Son prohibiciones totales — no existe un camino de cumplimiento. Incluyen sistemas de IA que usan manipulación subliminal para influir en el comportamiento, puntuación social por parte de gobiernos, vigilancia biométrica en tiempo real en espacios públicos (con excepciones estrechas para autoridades policiales) y reconocimiento de emociones en el trabajo y en las escuelas. Si tienes alguno de estos operando, tienes que eliminarlo ya. La fecha límite de esta categoría fue el 2 de febrero de 2025 — ya pasó.
IA de alto riesgo (Artículo 6 + Anexo III). Estos sistemas pueden seguir operando, pero requieren un trabajo de cumplimiento significativo — gestión de riesgos, gobernanza de datos, documentación técnica, registro de eventos, supervisión humana y estándares de precisión. Las categorías de alto riesgo cubren áreas como contratación y gestión de personal, credit scoring, acceso a servicios esenciales, aplicación de la ley e infraestructura crítica. Un ejemplo práctico para una PyME: si usas una herramienta de IA para filtrar CVs o rankear candidatos, ese flujo de trabajo es de alto riesgo bajo el Anexo III, §4.
IA de riesgo limitado (Artículo 50). Estos sistemas deben cumplir con obligaciones de transparencia — principalmente, los usuarios deben saber que están interactuando con una IA. El ejemplo más claro es un chatbot de soporte al cliente. No necesitas construir un sistema completo de gestión de riesgos, pero sí tienes que decirle al usuario de entrada que está hablando con una máquina. No revelarlo es una infracción aunque la IA en sí sea inofensiva.
IA de riesgo mínimo. La gran mayoría de las herramientas de IA caen aquí — filtros de spam, pronóstico de inventarios, motores de recomendación de productos, correctores ortográficos. No aplican obligaciones específicas más allá de los requisitos básicos de buenas prácticas. Puedes seguir usándolas sin procedimientos formales de cumplimiento.
Lo que la mayoría de los fundadores se equivoca
"Yo solo llamo a la API de OpenAI — la regulación es problema de ellos." OpenAI, Anthropic y Google están sujetos a obligaciones GPAI por sus modelos. Pero como operador que construye un sistema encima de esos modelos, tú eres responsable de cómo se despliega ese sistema. La Ley distingue entre "proveedores" (quienes construyen sistemas de IA) y "desplegadores" (quienes los usan en la práctica). Si configuras el sistema, defines los prompts, delimitas el caso de uso y lo despliegas a usuarios finales, eres un proveedor bajo el Artículo 3. Envolver el modelo de otro no cambia tu clasificación.
"No vendemos a clientes de la UE." Como se explicó arriba, el umbral no es dónde vendes — es dónde se usa el output. Si una sola postulación de empleo de un residente de la UE pasa por tu filtro de contratación con IA, o si una única empresa europea usa tu herramienta de ventas con IA sobre su lista de contactos, estás dentro del alcance. No tienes que vender activamente a la UE para que la Ley te alcance.
"Somos demasiado pequeños para ser un blanco." La Ley contempla salvedades para PyMEs — el Artículo 16 y el Considerando 97 reconocen que las cargas de cumplimiento deben ser proporcionadas. Pero proporcionado no significa exento. Las salvedades reducen la complejidad documental, no la exposición legal. Las microempresas siguen obligadas a cumplir las obligaciones sustantivas para IA prohibida y de alto riesgo.
"Un disclaimer en nuestros términos de servicio es suficiente." Los términos de servicio no pueden renunciar a tus obligaciones como proveedor o desplegador. La Ley impone obligaciones afirmativas — debes mantener registros, realizar evaluaciones de riesgo, implementar mecanismos de supervisión — que un disclaimer no puede sustituir. Un disclaimer le dice al usuario de qué te deslindas. La Ley te dice qué tienes que hacer efectivamente.
"Esto es solo para empresas de IA." La Ley aplica a cualquiera que despliegue un sistema de IA — no solo a empresas que construyen IA. Si usas una herramienta de IA comercial para automatizar una decisión de contratación, una evaluación de crédito o una determinación de beneficios, eres un desplegador con obligaciones bajo el Capítulo III, Sección 3. "Nosotros solo usamos la herramienta" no es defensa.
Una autoevaluación de 5 minutos
Antes de priorizar el trabajo de cumplimiento, necesitas saber en qué categoría cae cada uno de tus flujos de trabajo. La clasificación de riesgo no siempre es obvia — la misma tecnología subyacente (digamos, un modelo de puntuación) puede ser Prohibida, de Alto Riesgo o Mínima dependiendo de qué puntúa y a quién afecta el output.
Tras revisar las categorías del Anexo III y las prohibiciones del Artículo 5, construimos una herramienta gratuita de clasificación para que los fundadores puedan hacer esa verificación sin tener que leer 87 páginas de regulación. Te guía por la categoría del flujo de trabajo, el tipo de output y a quién afecta la decisión — y devuelve la categoría junto con las referencias a los artículos aplicables.
Úsala aquí: EU AI Act Risk Checker →
Para un contexto más profundo sobre qué tipos de flujos de trabajo caen específicamente en el bucket de alto riesgo, lee nuestro artículo complementario: ¿Cuáles de tus flujos de trabajo acaban de volverse 'Alto Riesgo' bajo el EU AI Act? Si eres fundador con base en Estados Unidos y te preguntas si esto siquiera te aplica, lee: Lo que los fundadores estadounidenses no entienden sobre el EU AI Act.
Sanciones
El marco sancionador del Artículo 99 está estratificado por tipo de infracción, y las cifras son lo suficientemente grandes como para importar incluso a las PyMEs.
Las infracciones de las prácticas prohibidas bajo el Artículo 5 conllevan multas de hasta €35 millones o el 7% de la facturación anual global, lo que sea mayor. Las infracciones de alto riesgo — no cumplir con los requisitos de documentación, supervisión o calidad de datos — alcanzan hasta €15 millones o el 3% de la facturación. Proporcionar información falsa o engañosa a las autoridades llega hasta €7,5 millones o el 1% de la facturación.
Para PyMEs y startups, la Ley ofrece algo de alivio: el Artículo 99(6) establece que las sanciones para empresas más pequeñas deben ser proporcionadas a su capacidad económica. Esto no significa exposición cero — significa que los reguladores están instruidos para usar el rango bajo de las multas. Con el 3%, incluso una empresa con €2M de facturación seguiría enfrentando una multa de €60,000 por una falla documental.
La aplicación está a cargo de las autoridades nacionales de vigilancia de mercado en cada estado miembro de la UE, coordinadas por la Oficina Europea de IA a nivel de la Comisión. El foco inicial de aplicación probablemente seguirá el patrón del GDPR: casos de alto perfil primero, después barridos sector por sector. Pero denuncias privadas de residentes de la UE pueden disparar investigaciones sin esperar a un barrido regulatorio.
Los próximos 90 días: un plan de preparación concreto
Con el 2 de agosto acercándose, la pregunta práctica es: ¿qué haces primero? Tras revisar las obligaciones de cumplimiento de la Ley a lo largo de los Artículos 9 al 16, esta es la secuencia que tiene sentido para la mayoría de las PyMEs.
Semanas 1-2: Inventario. Lista cada herramienta o flujo de trabajo con IA en tu stack. Incluye cualquier cosa que automatice una decisión, genere output usado para tomar una decisión o procese datos sobre personas. No olvides las herramientas embebidas en otras plataformas — la IA dentro de tu ATS, el modelo de scoring de tu CRM, tu motor de personalización de emails.
Semanas 3-4: Clasifica. Para cada elemento de tu inventario, determina en qué categoría cae usando el Risk Checker o trabajando directamente el Anexo III y el Artículo 5. Marca cualquier cosa que parezca poder ser prohibida o de alto riesgo.
Semana 5: Elimina o pausa cualquier cosa prohibida. Si alguno de tus flujos cae bajo el Artículo 5, apágalo antes de cualquier otra cosa. No existe camino de cumplimiento para la IA prohibida — la única respuesta es descontinuarla.
Semanas 6-10: Trabajo de cumplimiento de alto riesgo. Para los flujos de alto riesgo, empieza a implementar las medidas requeridas: un sistema de gestión de riesgos (Artículo 9), documentación de gobernanza de datos (Artículo 10), documentación técnica (Artículo 11), registros y pistas de auditoría (Artículo 12), supervisión humana efectiva (Artículo 14) y monitoreo de precisión (Artículo 15).
Semanas 11-12: Divulgación y documentación. Asegúrate de que los flujos de riesgo limitado tengan la divulgación adecuada al usuario bajo el Artículo 50. Finaliza tu documentación técnica. Si eres un proveedor no europeo, designa a tu Representante Autorizado bajo el Artículo 22.
Si quieres ayuda para mapear tus flujos de trabajo contra estas obligaciones y construir un plan priorizado de 90 días, ese es exactamente el tipo de análisis estructurado que hacemos en OpSprint. No vamos a reemplazar a tu asesor legal en la UE — pero podemos asegurarnos de que llegues a esa conversación con un inventario claro, una clasificación por categoría y una lista de brechas.
Usa el EU AI Act Risk Checker gratuito → — clasifica tus flujos de trabajo en 5 minutos, sin necesidad de cuenta.
Para más información sobre el EU AI Act, visita el Hub de la Ley de IA de la UE de OpSprint.
Guía pragmática de preparación — no constituye asesoramiento legal. Para casos específicos, consulta a un asesor legal en la UE.
¿Necesitas ayuda para aplicar esto en tu operación? Empieza con una llamada y mapeamos los próximos pasos.